ibm新研究表明,cert新的開源安全工具“tapioca”顯示android應用漏洞無處不在。
根據ibm新研究表明,新開發的開源安全工具發現2014年已知移動應用漏洞大幅增加。在其2015年威脅情報季報中,ibm x-force稱,2013年漏洞披露為8400個,而去年增加到30000個,這是x-force在18年的曆史中資料最高的一年。
ibm x-force研究人員jason kravitz表示,從往年的資料來看,2014年漏洞披露數量應該會出現适量下降,初步預計保持在7000到8000的範圍。
“你回望過去四五年會發現,漏洞總數量一直保持平穩,”kravitz說道,“是以我們對2014年的預測是應該會比2013年少一點。”
但事實并非如此,卡内基梅隆大學軟體工程研究所計算機應急響應小組(cert)漏洞分析師will dormann開發出一種新方法來發現android移動應用漏洞。
此前dormann在研究中間人攻擊(mitm),并想以這種方式測試應用:即通過代理伺服器路由應用流量,而不會提醒應用。是以,他需要設計一個代理伺服器可以在應用層外部來測試。
dormann的解決方案是cert透明代理捕捉裝置(transparent proxy capture appliance,tapioca)。該工具在去年8月推出,可作為mitm軟體分析的透明網絡層代理。
“對于某些用戶端應用,你可以指明你想使用代理,”dormann解釋說,“現在市面上已經推出了一些mitm代理工具,例如zap、burp和fiddler,但如果你想測試不支援指定代理的應用,或者出于某些原因沒有使用os配置代理的應用,則可以選擇tapioca,它可以在網絡水準運作。”
dormann解釋說,你需要做的是配置虛拟機,或者無線接入點用于實體測試,并使用tapioca作為網際網路網關。對于這樣配置的任何系統,tapioca會看到所有通過網絡的web請求。
很快,dormann發現tapioca可以用來檢查沒有正确驗證ssl證書的應用。并且,通過使用android模拟器、linux虛拟機(vm)和其他一些技巧,dormann還可以自動化這個過程。他在多個虛拟機運作tapioca工具長達數月,從2014年8月開始,2015年1月結束,測試的應用數量超過100萬。
根據x-force威脅情報季報顯示,tapioca是發現數千易受攻擊android應用的關鍵;它搜尋整個google play store,發現2014年android應用漏洞激增。根據tapioca項目釋出的公共電子資料表顯示,23667個應用沒有通過動态測試,主要是因為這些應用包含因不正确ssl證書驗證導緻的漏洞。
“我們通過tapioca工具發現的是,其實有20000多個應用存在漏洞,而造成這個問題的是它們部署ssl的方式,”kravitz稱,“這并不是它們包含的某個庫存在漏洞,這20000個應用本身包含漏洞。”
kravitz稱,tapioca工具是遊戲規則颠覆者;x-force本身登記了9200個漏洞,而這個開源安全工具發現的漏洞數量是這個資料的三倍。
“在過去,我們并不會發現那麼多應用存在漏洞,”他表示,“如果word press插件有漏洞,這可能會影響10萬網站,但我們不會在資料庫中記錄10萬個漏洞,因為這其實是一個漏洞。”
對于每個未通過測試的應用,cert都聯系了相應的應用開發人員(如果play store中提供了聯系方式)。但每1000名開發人員中隻有1名開發人員報告回cert,并确認修複了該漏洞。kravitz稱,目前還不清楚這些漏洞已經存在多長時間。
“假設這些應用在去年10月之前推出,那麼它們可能有這個漏洞,”kravitz稱,“在cert開始使用tapioca工具測試這些應用之前,沒有人發現這些漏洞。”
随後,dormann以衆包方式使用tapioca工具來測試。新的android應用正層出不窮,而舊應用的新版本也不斷推出。cert還沒有測試ios和其他移動平台,主要是由于這些平台缺乏類似android de-bug bridge(adp)的工具,讓使用者可以與模拟器執行個體進行互動。沒有這種指令行工具,tapioca無法自動化,讓測試沒那麼可行。
“對于iphone sdk,他們有iphone模拟器,但這隻是模拟應用的外觀和感覺,”dormann稱,“為了使用tapioca測試應用,你需要與在網絡層面運作方式相同的東西。”
dormann也嘗試對iphone進行檢測,将其關聯到一個接入點,但他表示如果需要實體電話的話,大規模測試ios應用不太可能。現在還不知道對于ios,tapioca可以實作何種程度的自動化。
x-force報告稱,tapioca不僅改變了2014年漏洞披露數量,還改變了大家對應該如何記錄漏洞披露的讨論。雖然tapioca工具被用于合法研究目的,dormann承認,攻擊者和網絡犯罪分子可以利用這個開源工具來發現和利用漏洞,甚至在開發人員有機會修複它們之前。
“對于任何特别的安全工具,有人會将其用于好的目的,”dormann稱,“也有人可能将其用于損害他人利益的事情,工具的可用性隻是幫助提高軟體的品質。”
作者:maxim tamarov
來源:51cto