安卓軟體供應鏈全線均爆重大安全事件 上游攻擊或將影響上億用戶

7月25日，騰訊安全反詐騙實驗室發布《網路安全新常態下Android應用供應鏈安全探秘》（下簡稱報告），結合最新爆發的典型案例梳理了供應鏈攻擊的常見手段及攻擊趨勢，並指出在軟體供應鏈開發、分發、使用三大環節均有安全隱患，爆發了多起影響重大的安全事件。鑒於供應鏈安全問題較強的隱蔽性和影響的廣泛性，報告同時呼籲相關各方關注供應鏈攻擊的新形式，做好有效的安全防禦措施。

移動安全威脅「量降質升」 不法分子瞄準供應鏈薄弱環節

過去幾年，經過手機廠商和移動安全廠商等各方的共同努力，普通Android惡意軟體的迅猛增長趨勢已經得到遏制。報告援引騰訊手機管家的數據顯示，2018年上半年Android平台新增惡意樣本數468.70萬，較去年同期下降47.8%，扭轉了2015年以來的迅猛增長勢頭。

但高端、複雜的移動惡意軟體攻擊卻呈現上升趨勢，愈演愈烈的軟體供應鏈攻擊更是驗證了移動安全威脅「量降質升」現象。報告指出，惡意攻擊者逐漸將目光投向供應鏈中最薄弱的一環，如手機OTA升級服務預裝後門程序，第三方廣告SDK竊取用戶隱私等，這類攻擊藉助「合法軟體」的保護，很容易繞開安全產品的檢測，進行大範圍的傳播和攻擊。

經過騰訊大數據監測發現，近年來，與Android應用供應鏈相關的安全事件越來越多，惡意軟體作者正越來越多地利用用戶與軟體供應商間的固有信任，通過層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失。

目前關於Android應用供應鏈還沒有明確的概念，報告根據傳統的供應鏈概念將其簡單抽象成開發、分發和使用環節，基本包含了軟體開發設計、發布下載、用戶使用等上下游全產業鏈。通過報告整理的關於Android應用供應鏈重要安全事件時序圖可以發現，供應鏈各個環節，幾乎都爆發了重大安全事件。

（Android應用供應鏈重要安全事件時序圖）

上游攻擊或將影響上億用戶 惡意開發者逐漸滲入SDK開發環節

針對軟體供應鏈上游開發工具進行攻擊、影響最為廣泛的莫過於2015年的Xcode非官方版本惡意代碼污染事件。攻擊者通過向非官方版本的Xcode注入病毒Xcode Ghost，當應用開發者使用帶毒的Xcode工作時，編譯出的APP都將被注入病毒代碼，從而產生眾多攜帶病毒的APP。

報告指出，類似於Xcode Ghost這類污染開發工具針對軟體供應鏈上游（開發環境）進行攻擊的安全事件較少，但一旦攻擊成功，卻可能影響上億用戶。

而入侵第三方SDK則正在成為不法分子針對供應鏈上游發起攻擊的重要選擇。報告指出，一方面，第三方SDK的開發者的安全能力水平參差不齊，且眾多第三方SDK的開發者側重於功能的實現，在安全方面的投入不足，近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等，由於其被廣泛集成到大量的APP中，漏洞的影響範圍非常大；另一方面，部分惡意開發者滲入了SDK開發環節，以提供第三方服務的方式吸引其他APP應用開發者來集成他們的SDK。藉助這些合法應用，惡意的SDK可以有效地躲避大部分應用市場和安全廠商的檢測，影響大量用戶的安全。

2018年4月，騰訊安全反詐騙實驗室自研的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟體開發工具包（SDK）——「寄生推」，它通過預留的「後門」雲控開啟惡意功能，私自ROOT用戶設備並植入惡意模塊，進行惡意廣告行為和應用推廣，以實現牟取灰色收益。該事件感染超過300多款知名應用，潛在影響用戶超2000萬。

下游攻擊佔據大頭 不法分子無孔不入

供應鏈下游則是爆發安全事件的大頭。報告指出，Android應用分發渠道在供應鏈中佔據著十分重要的位置，也是安全問題頻發的環節。Android應用分發渠道眾多，應用市場、廠商預裝、破解網站、ROM內置等都是用戶獲取應用的常見方式。不僅第三方站點下載、破解應用等灰色供應鏈中獲取的軟體極易被植入惡意代碼，就連某些正規的應用市場，由於審核不嚴等因素也被攻擊者植入過含有惡意代碼的「正規」軟體。

除了用戶直接獲取應用的渠道存在的安全威脅外，其他提供第三方服務的廠商如OTA升級、安全加固等也可能在服務中預留後門程序，威脅用於的隱私和設備安全。這類攻擊大多採用了白簽名繞過查殺體系的機制，其行為也介於黑白之間，從影響用戶數來說遠超一般的漏洞利用類攻擊。

用戶在使用應用過程，面臨的應用升級更新等情況也潛伏隱患。2017年12月，Android平台爆出「核彈級」Janus漏洞，能在不影響應用簽名的情況下，修改應用代碼，導致應用的升級安裝可能被惡意篡改。同樣，隨著越來越多的應用採用熱補丁的方式更新應用代碼，惡意開發者也趁虛而入，在應用更新方式上做手腳，下發惡意代碼，威脅用戶安全。

報告最後呼籲，針對軟體供應鏈攻擊，無論是免費應用還是付費應用，在供應鏈的各個環節都可能被攻擊者利用，因此，需要對供應鏈全面設防，打造Android應用供應鏈的安全生態。在應對應用供應鏈攻擊的整個場景中，需要手機廠商、應用開發者、應用市場、安全廠商、普通用戶等各主體積极參与、通力合作。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！