IBM新研究表明，CERT新的開(kāi)源安全工具“Tapioca”顯示Android應(yīng)用漏洞無(wú)處不在。

根據(jù)IBM新研究表明，新開(kāi)發(fā)的開(kāi)源安全工具發(fā)現(xiàn)2014年已知移動(dòng)應(yīng)用漏洞大幅增加。在其2015年威脅情報(bào)季報(bào)中，IBM X-Force稱(chēng)，2013年漏洞披露為8400個(gè)，而去年增加到30000個(gè)，這是X-Force在18年的歷史中數(shù)據(jù)最高的一年。

IBM X-Force研究人員Jason Kravitz表示，從往年的數(shù)據(jù)來(lái)看，2014年漏洞披露數(shù)量應(yīng)該會(huì)出現(xiàn)適量下降，初步預(yù)計(jì)保持在7000到8000的范圍。

“你回望過(guò)去四五年會(huì)發(fā)現(xiàn)，漏洞總數(shù)量一直保持平穩(wěn)，”Kravitz說(shuō)道，“所以我們對(duì)2014年的預(yù)測(cè)是應(yīng)該會(huì)比2013年少一點(diǎn)。”

但事實(shí)并非如此，卡內(nèi)基梅隆大學(xué)軟件工程研究所計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)漏洞分析師Will Dormann開(kāi)發(fā)出一種新方法來(lái)發(fā)現(xiàn)Android移動(dòng)應(yīng)用漏洞。

此前Dormann在研究中間人攻擊(MitM)，并想以這種方式測(cè)試應(yīng)用：即通過(guò)代理服務(wù)器路由應(yīng)用流量，而不會(huì)提醒應(yīng)用。因此，他需要設(shè)計(jì)一個(gè)代理服務(wù)器可以在應(yīng)用層外部來(lái)測(cè)試。

Dormann的解決方案是CERT透明代理捕捉設(shè)備(Transparent Proxy Capture Appliance，Tapioca)。該工具在去年8月推出，可作為MitM軟件分析的透明網(wǎng)絡(luò)層代理。

“對(duì)于某些客戶(hù)端應(yīng)用，你可以指明你想使用代理，”Dormann解釋說(shuō)，“現(xiàn)在市面上已經(jīng)推出了一些MitM代理工具，例如ZAP、Burp和Fiddler，但如果你想測(cè)試不支持指定代理的應(yīng)用，或者出于某些原因沒(méi)有使用OS配置代理的應(yīng)用，則可以選擇Tapioca，它可以在網(wǎng)絡(luò)水平運(yùn)行。”

Dormann解釋說(shuō)，你需要做的是配置虛擬機(jī)，或者無(wú)線接入點(diǎn)用于物理測(cè)試，并使用Tapioca作為互聯(lián)網(wǎng)網(wǎng)關(guān)。對(duì)于這樣配置的任何系統(tǒng)，Tapioca會(huì)看到所有通過(guò)網(wǎng)絡(luò)的Web請(qǐng)求。

很快，Dormann發(fā)現(xiàn)Tapioca可以用來(lái)檢查沒(méi)有正確驗(yàn)證SSL證書(shū)的應(yīng)用。并且，通過(guò)使用Android模擬器、Linux虛擬機(jī)(VM)和其他一些技巧，Dormann還可以自動(dòng)化這個(gè)過(guò)程。他在多個(gè)虛擬機(jī)運(yùn)行Tapioca工具長(zhǎng)達(dá)數(shù)月，從2014年8月開(kāi)始，2015年1月結(jié)束，測(cè)試的應(yīng)用數(shù)量超過(guò)100萬(wàn)。

根據(jù)X-Force威脅情報(bào)季報(bào)顯示，Tapioca是發(fā)現(xiàn)數(shù)千易受攻擊Android應(yīng)用的關(guān)鍵;它搜尋整個(gè)Google Play Store，發(fā)現(xiàn)2014年Android應(yīng)用漏洞激增。根據(jù)Tapioca項(xiàng)目發(fā)布的公共電子數(shù)據(jù)表顯示，23667個(gè)應(yīng)用沒(méi)有通過(guò)動(dòng)態(tài)測(cè)試，主要是因?yàn)檫@些應(yīng)用包含因不正確SSL證書(shū)驗(yàn)證導(dǎo)致的漏洞。

“我們通過(guò)Tapioca工具發(fā)現(xiàn)的是，其實(shí)有20000多個(gè)應(yīng)用存在漏洞，而造成這個(gè)問(wèn)題的是它們部署SSL的方式，”Kravitz稱(chēng)，“這并不是它們包含的某個(gè)庫(kù)存在漏洞，這20000個(gè)應(yīng)用本身包含漏洞。”

Kravitz稱(chēng)，Tapioca工具是游戲規(guī)則顛覆者;X-Force本身登記了9200個(gè)漏洞，而這個(gè)開(kāi)源安全工具發(fā)現(xiàn)的漏洞數(shù)量是這個(gè)數(shù)據(jù)的三倍。

“在過(guò)去，我們并不會(huì)發(fā)現(xiàn)那么多應(yīng)用存在漏洞，”他表示，“如果Word Press插件有漏洞，這可能會(huì)影響10萬(wàn)網(wǎng)站，但我們不會(huì)在數(shù)據(jù)庫(kù)中記錄10萬(wàn)個(gè)漏洞，因?yàn)檫@其實(shí)是一個(gè)漏洞。”

對(duì)于每個(gè)未通過(guò)測(cè)試的應(yīng)用，CERT都聯(lián)系了相應(yīng)的應(yīng)用開(kāi)發(fā)人員(如果Play Store中提供了聯(lián)系方式)。但每1000名開(kāi)發(fā)人員中只有1名開(kāi)發(fā)人員報(bào)告回CERT，并確認(rèn)修復(fù)了該漏洞。Kravitz稱(chēng)，目前還不清楚這些漏洞已經(jīng)存在多長(zhǎng)時(shí)間。

“假設(shè)這些應(yīng)用在去年10月之前推出，那么它們可能有這個(gè)漏洞，”Kravitz稱(chēng)，“在CERT開(kāi)始使用Tapioca工具測(cè)試這些應(yīng)用之前，沒(méi)有人發(fā)現(xiàn)這些漏洞。”

隨后，Dormann以眾包方式使用Tapioca工具來(lái)測(cè)試。新的Android應(yīng)用正層出不窮，而舊應(yīng)用的新版本也不斷推出。CERT還沒(méi)有測(cè)試iOS和其他移動(dòng)平臺(tái)，主要是由于這些平臺(tái)缺乏類(lèi)似Android De-bug Bridge(ADP)的工具，讓用戶(hù)可以與模擬器實(shí)例進(jìn)行交互。沒(méi)有這種命令行工具，Tapioca無(wú)法自動(dòng)化，讓測(cè)試沒(méi)那么可行。

“對(duì)于iPhone SDK，他們有iPhone模擬器，但這只是模擬應(yīng)用的外觀和感覺(jué)，”Dormann稱(chēng)，“為了使用Tapioca測(cè)試應(yīng)用，你需要與在網(wǎng)絡(luò)層面運(yùn)作方式相同的東西。”

Dormann也嘗試對(duì)iPhone進(jìn)行檢測(cè)，將其關(guān)聯(lián)到一個(gè)接入點(diǎn)，但他表示如果需要物理電話的話，大規(guī)模測(cè)試iOS應(yīng)用不太可能?，F(xiàn)在還不知道對(duì)于iOS，Tapioca可以實(shí)現(xiàn)何種程度的自動(dòng)化。

X-Force報(bào)告稱(chēng)，Tapioca不僅改變了2014年漏洞披露數(shù)量，還改變了大家對(duì)應(yīng)該如何記錄漏洞披露的討論。雖然Tapioca工具被用于合法研究目的，Dormann承認(rèn)，攻擊者和網(wǎng)絡(luò)犯罪分子可以利用這個(gè)開(kāi)源工具來(lái)發(fā)現(xiàn)和利用漏洞，甚至在開(kāi)發(fā)人員有機(jī)會(huì)修復(fù)它們之前。

“對(duì)于任何特別的安全工具，有人會(huì)將其用于好的目的，”Dormann稱(chēng)，“也有人可能將其用于損害他人利益的事情，工具的可用性只是幫助提高軟件的質(zhì)量。”