《新思科技：疫情中的安全隱患：移動應用程序安全狀況（19頁）.pdf》由會員分享，可在線閱讀，更多相關《新思科技：疫情中的安全隱患：移動應用程序安全狀況（19頁）.pdf（19頁珍藏版）》請在三個皮匠報告上搜索。

1、 疫情中的安全隱疫情中的安全隱患：移動應用程序患：移動應用程序安全現狀安全現狀 對新冠疫情期間最受歡迎的 Android 應用程序進行的安全分析 概述概述 Synopsys 網絡安全研究中心（CyRC）分析了 3,000 多個最受歡迎的 Android 應用，以評估新冠疫情爆發期間移動應用的安全狀態。該研究針對 18 個類別中下載量最大、收入最高的應用程序，其中許多在疫情期間均呈現出爆炸式增長。該研究集中在移動應用安全性的三個核心領域：漏洞：漏洞：應用程序的開源組件中存在已知軟件漏洞 信息泄漏：信息泄漏：應用程序代碼中暴露的私鑰、令牌和密碼等敏感數據 移動設備權限：移動設備權限：要求過度訪問移

2、動設備數據和功能的應用程序 分析顯示，大多數的應用中都包含具有已知安全漏洞的開源組件。分析還特別指出了其他普遍存在的安全問題，包括應用程序代碼中大量的敏感數據潛在暴露以及過度的移動設備權限的使用。對消費者而言，該報告指出了一個令人震驚的事實：即使最受歡迎的移動應用也無法幸免于安全和隱私方面的弱點，因此不應被默認為是可信的。對應用開發者而言，該報告強調了對安全軟件開發實踐以及更好的全面的隱私和安全保護實踐的迫切需求。疫情期間最受歡迎的 18 類應用程序，包括游戲、教育、銀行業務以及健康與健身 每個應用程序平均 39 個漏洞 44%的漏洞被認為是高風險的 94%的漏洞已有公開報道的修復程序/方案

3、73%的漏洞是兩年前就已經首次披露 在應用代碼中數千條數千條敏感數據被暴露 移動設備權限的過度過度使用 分析了 3,335 個移動應用程序 63%的應用程序中包含已知安全漏洞 密碼、令牌和密鑰：2224 電子郵件地址：10863 IP 地址和 URL:392795 普通權限：33,385 敏感權限：15,139 非第三方使用的權限：10,653 目錄目錄 疫情中的安全隱患：移動應用程序安全現狀.1 做什么：移動應用程序的針對性分析.3 如何做：Synopsys 業界領先的 Black Duck Binary Analysis.3 結果：Synopsys 發現了什么.4 開源漏洞調查結果.4 已

4、知漏洞.4 按應用類別劃分的調查結果.5 分析漏洞.6 借助Black Duck 安全公告深入探究安全漏洞.7 有實際可利用風險的漏洞.8 具體的開源漏洞調查結果.9 信息泄漏調查結果.10 移動權限調查結果.11 總結.15|1 疫情中的安全隱患：疫情中的安全隱患：移動應用程序安全現狀移動應用程序安全現狀 在這個充滿挑戰的時期，保持社交距離以及封鎖帶來的限制導致世界以令人矚目的方式往線上轉移，這也許會永久性地改變我們的工作、學習和交流互動的方式。社會快速適應了這種情況，開始在線上提供之前一直僅在線下可用的資源，從而導致愈發依賴移動應用程序開展日?；顒拥奈幕?。透過新冠疫情的鏡頭，Synopsy

5、s 網絡安全研究中心（CyRC）開始探索在這個日益由應用程序驅動的世界中，應用程序的安全狀況到底如何。該分析主要圍繞著兩個關鍵問題展開：最受歡迎最受歡迎的移動應用是否足夠安全，或者它們是否的移動應用是否足夠安全，或者它們是否最最容易受到攻擊？容易受到攻擊？在確定應用程序在確定應用程序可訪問可訪問的的設備設備權限權限和數據和數據時，應用時，應用開發人員是否開發人員是否會會優先考慮安全性優先考慮安全性和隱私和隱私問題問題？無論您是移動應用程序的用戶還是開發者，抑或既是用戶又是開發者，您都必須了解當您將生活或業務從線下轉移到線上時，所需承受的相對風險，這一點很重要。Synopsys 軟件組成分析（S

6、CA）工具 Black Duck Binary Analysis 可對最受歡迎的移動應用程序進行全面分析，以便您全方位了解在這個嶄新、遠程生活時代所面臨的潛在風險、影響和危害?！半S著新冠疫情的爆發繼續對世界產生影響，移動應用程序的下載、使用和營收在2020年第二季度均創下歷史新高。根據應用商店 情報公司App Annie的最新數據，2020年第二季度，移動應用程序的使用量同比增長了40%?！?|2 CyRC 分析了截至 2021 年第一季度 Google Play 商店中最受歡迎的 3,335 個免費和付費 Android 應用程序。掃描的應用掃描的應用程序程序數量（按類別）數量（按類別）每個

7、應用程序平均的開源組件數量（按類別）每個應用程序平均的開源組件數量（按類別）|3 商業、健康與健身以及教育類應用的下載量分別比上一季度增長了115%、75%和50%。2 做什么：做什么：移動應用移動應用程序程序的針對性的針對性分析分析 為了考察移動應用程序安全性的“新冠病毒狀態”，CyRC 分析了截至 2021年第一季度 Google Play 商店中最受歡迎的 3,335 個免費和付費 Android應用。它們都是因疫情爆發而經歷了顯著增長的應用，涵蓋教育、娛樂、游戲、健康與健身、餐飲、生產限制和教輔工具等多個類別。CyRC 利用業界領先的專業知識、技術和資源來幫助分享軟件安全知識與最佳實踐

8、。針對三個主要領域的潛在安全風險，CyRC 團隊使用 Black Duck 掃描并分析這些最受歡迎的應用程序：開源安全漏洞：開源安全漏洞：您每天使用的應用程序的開源組件中是否隱藏著已知安全漏洞？潛在潛在的的信息泄漏實例：信息泄漏實例：應用開發人員是否無意間將密碼、電子郵件地址或 AWS 和 Google 云密鑰等敏感數據暴露在編譯后的應用程序中？移動權限：移動權限：應用程序需要從設備中獲得哪些權限？是否超出必要權限？或者說，是否存在若使用不當將會破壞數據的權限？如何做：如何做：Synopsys 業界業界領先的領先的Black Duck Binary Analysis 為了進行可靠的調查，CyR

9、C 使用 Black Duck 工具的獨特功能-Black Duck Binary Analysis 分析了與每個應用程序關聯的 Android 軟件包中所包含的開源軟件組件和其它內容。鑒于 BlackDuck 對應用程序的已編譯的二進制文件（而不是源代碼）進行分析，因此，它可以掃描幾乎任何軟件，從桌面和移動應用程序直到嵌入式系統固件。Black Duck 不僅能夠識別開源并將漏洞和許可證與其進行匹配，而且還能指出敏感信息的潛在風險，例如可能影響應用程序安全性信息泄漏和移動權限。|3|4 結果：結果：Synopsys 發現了什么發現了什么 CyRC 共分析了 3,335 個應用，發現了一些與這

10、些應用程序的開發者、其公司和用戶有關的值得注意的風險。無論您是用戶還是開發者（抑或既是用戶又是開發者），分析結果揭示了哪些因素會影響正在開發和使用的應用程序安全性。開源漏洞開源漏洞調查調查結果結果 總體而言，被掃描應用程序中 98%的應用程序有包含開源組件。這個數字與 Synopsys 的其它調查研究相一致，再次證實了大家一致認可的一個整體趨勢：開源是當今幾乎所有應用程序的基礎。只要積極主動地管理和維護，開源本身不會帶來風險。但這些分析結果顯示，被掃描應用程序中 63%的應用程序包含存在至少一個已知安全漏洞的開源軟件組件，每個易受攻擊的應用程序平均有 39 個漏洞。雖然具體情況因應用程序類別而

11、異，但卻無一幸免。在所有的 18 類應用程序中，至少有三分之一的應用程序包含具有已知安全漏洞的應用程序。已知漏洞已知漏洞 在 CyRC 使用二進制分析方式進行掃描的3,335 個應用程序中，有 2,115 個包含易受攻擊的組件（63%），每個易受攻擊的應用程序中平均有 39 個漏洞。所發現的安全漏洞在所有這些應用程序中被掃描到總計超過 8.2 萬次。這意味著目前最受歡迎的大多數 Android 應用都存在某種漏洞，與應用類別（生活，金融等）或其開發者無關。對于經常使用此類應用程序的消費者而言，這些漏洞的普遍程度不禁讓其擔心個人信息和安全受到威脅。應用程序所有者（開發者及其公司）同樣有此擔心，因

12、為他們的企業數據、員工數據、客戶數據和聲譽都面臨風險。|5 按應用按應用程序程序類別劃分的類別劃分的調查調查結果結果 為了將本報告中標出的令人不安的的漏洞放到合適的場景，CyRC 按應用程序類別對掃描結果進行了過濾，揭示出最易受攻擊的應用類別。最引人注目的結果是金融、游戲和生產效率應用程序中的漏洞數量 這些都是在新冠疫情期間廣受歡迎的應用程序類別。包含易受攻擊組件的被掃描應用程序的百分比（按類別）最受歡迎免費游戲 最暢銷游戲 銀行類應用程序 預算類應用程序 支付類應用程序 最受歡迎付費游戲 最暢銷應用程序 最受歡迎免費應用程序 生產效率應用程序 教育類應用程序 教輔類工具 娛樂類應用程序 餐飲

13、類應用程序 最暢銷交友類應用程序 最受歡迎免費交友類應用程序 最受歡迎付費應用程序 生活類應用程序 健康與健身類應用程序 通過對整個常見漏洞披露（CVE）數據進行分析，最為堪憂的結果來自對金融和銀行類應用程序的分析。在被掃描的107 個銀行類應用程序中，有 94 個包含漏洞，即 88%，遠高于 63%的平均值。這些應用中總共被掃描到 5,179 個漏洞，相當于每個應用平均包含 55 個漏洞。鑒于金融類應用需要一些最敏感的個人數據，因此，考慮到安全漏洞的潛在影響，這些數字不禁令人擔憂。|6 游戲類應用大抵也是這種情形。最暢銷游戲和免費游戲在其各自被掃描的 257 個和 288 個應用程序中各自總

14、計發現了 10,404 和 9,829 個漏洞。這意味著 94%的最暢銷游戲和 96%的最受歡迎免費游戲都包含漏洞。最暢銷應用程序和免費應用程序各自平均包含 43 和 35 個漏洞。隨著游戲在新冠疫情期間的普及度迅速提升，尤其是考慮到更容易輕信他人的青少年游戲受眾，這一調查結果引起了人們對在線應用程序的兒童相應級別風險以及泄密事件可能會暴露哪些個人數據的關注。生產效率應用程序 例如電子表格和文檔等個人和專業業務活動類應用程序 的分析結果稍有好轉，但基本相同。在被掃描的 158 個應用程序中，有 92 個包含漏洞（58%）。這一比例低于總體平均水平，但識別出的 4,787 個漏洞這意味著每個易受

15、攻擊的應用平均包含有 52 個漏洞，也是相當高的。因此，這些應用程序還需做一些工作才能確保用戶安全。分析漏洞分析漏洞 除了對諸如本報告之類的報告數據進行研究外，CyRC 還于 2018 年開始發布Black Duck 安全公告（Black Duck Security Advisories，BDSA）。BDSA 是經過研究分析的、增強的和擴充處理的極為詳細的漏洞記錄，旨對開源安全問題提供國家漏洞數據庫的內容之外的全面透徹分析。BDSA 還提供問題修補和變通的解決方案信息、常見漏洞評分系統得分(CVSS)、漏洞利用信息和常見漏洞枚舉(CWE)分類。為了利用該增強數據來制作本報告，CyRC 開展了以

16、具有 BDSA 記錄的漏洞為側重點的更為詳細的漏洞分析 即2018 年之后披露的漏洞。在對本次移動應用研究中發現的漏洞進行 BDSA 覆蓋評估時，CyRC 還發現近四分之三的漏洞是在 2018 年之前披露的。也就是說，這些漏洞部分都不是新問題，開發者根本沒有考慮過用于構建應用程序的開源組件是否安全。3,137 CyRC 在移動應用程序研究中發現了 3,137 個不同的漏洞 2,285(73%)其中 2,285 個是在兩年前披露的 852(27%)852 個漏洞是在 2018至 2021 年間披露的 782(25%)782 個漏洞具有 BDSA記錄|7 借助借助Black Duck 安全公告深入

17、探究安全漏洞安全公告深入探究安全漏洞 通過查看 BDSA 記錄，CyRC 發現 782 個漏洞中有超過 94%是可修復的，這意味著受影響的開源組件有安全補丁或更安全的版本可用。782 個漏洞中只有 5.75%沒有已知解決方案。既然如此，企業為何未能修復這些漏洞呢？漏洞修補一直都很重要，應該被開發者視為重中之重。CyRC 所研究的都是高度需求應用程序，這使得它們的安全性變得更加重要。如果不能解決這一問題，那么，最常用的應用程序及其廣大用戶都將容易受到攻擊。雖然我們不可能立即修復應用程序中的所有漏洞，但應優先考慮那些最大可能被利用的漏洞。如想了解這些漏洞為何仍會存在于這些應用程序中，讓我們先來看看

18、開發團隊修復漏洞前所需信息。開發團隊修復漏洞前所需信息 信息源：信息源：與商業軟件不同，開源軟件需要用戶自己去獲取補丁，而不是主動將其推送給用戶。因此，工作團隊需要可靠且多樣化的漏洞數據源，將這些信息最好是由他們每天使用的警報系統（如電子郵件、Slack 和Teams等）推送到給他們。脆弱組件的發現與識別：脆弱組件的發現與識別：要想修復開源漏洞，工作團隊首先必須知道是否存在危險組件。如想查明應用程序中易受攻擊的組件，工作團隊首先需要找出并清點應用程序中的所有開源組件。理清理清應該應該優優先修復哪些組件先修復哪些組件的方法的方法/途徑途徑：雖然已有和已知漏洞列表和清單，但工作團隊通常缺乏時間和資

19、源來立即修復所有漏洞。因此，他們需要掌握有關漏洞的其他信息，例如其嚴重性、可利用性、攻擊影響力及其在應用程序中的可訪問性，這對確保集中資源優先處理最嚴重的漏洞至關重要。完整的補丁信息：完整的補丁信息：待工作團隊知曉所用組件中存在哪些漏洞以及應該優先修復哪些漏洞之后，最后的工作重點將是如何實際修復漏洞。警報附帶的簡明扼要的補丁信息將使工作團隊能夠快速使用該信息來修復漏洞。|8 有有實際可實際可利用風險的漏洞利用風險的漏洞 CyRC 認為，近一半的漏洞（44%）被識別為高風險漏洞，原因是要么已被有效利用，存在已記錄的概念驗證（PoC）漏洞利用程序，要么已被歸類為遠程代碼執行（RCE）漏洞。與潛在或

20、未經證實的風險因素不同，這些漏洞代表切實的威脅。簡單說，概念驗證（PoC）漏洞利用程序是指可用于重現漏洞的一種腳本、文件或代碼片段，但需要老練的攻擊者進行修改才能在真實場景中攻擊目標。漏洞利用程序類似于 PoC，但它幾乎無需修改便可用于網絡攻擊。RCE是指遠程攻擊者直接在目標系統上執行代碼。BDSA 記錄 RCE 漏洞是因為具有 PoC 或漏洞利用程序的 RCE 漏洞表明:對于給定漏洞而言，此類由遠程攻擊者發動的攻擊實際上是可能的，因此解決這一問題是至關重要的。CyRC 發現只有 5 個被識別出漏洞存在這種情況。具有 PoC 或漏洞利用程序的漏洞，或被歸類為 RCE 漏洞的漏洞，都是固有地具有

21、風險，很容易受到攻擊。它們不僅是潛在風險，而且還是切實存在的威脅應用程序完整性和用戶安全性的真實威脅。CyRC 還發現，盡管這些漏洞在本質上是嚴重的，但大多數均可通過已知的公開解決方案來減輕風險。所有的 RCE 漏洞都有已知解決方案，在具有 PoC 漏洞利用程序的漏洞中，95%都有現成的解決方案。漏洞修復拖延的時間越長，其被利用的幾率就越大，修復的難度也就越大，尤其是更為嚴重的有實際可利用程序的漏洞。隨著用戶數量的增加，忽視修復這些漏洞的潛在后果令人擔憂。鑒于很大一部分網絡攻擊是由未修補的開源軟件組件引發的，因此，不對具有已知修復程序的漏洞進行修補始終是一種有問題的安全實踐，且風險極高。在這個

22、速度越來越快、要求越來越苛刻的環境中，要想以合理的規模和速度來應對這些風險，必須借助適當的工具和流程來評估應用程序，并且能夠訪問了解和確定優先級以及修復安全漏洞所需的信息。CyRC 認為，近一半的漏洞（44%）被識別為高風險漏洞，原因是要么已被有效利用，存在已記錄的概念驗證（PoC）漏洞利用程序，要么已被歸類為 RCE 漏洞。|8|9 具體的開源漏洞調查結果具體的開源漏洞調查結果 CyRC 將漏洞調查結果按類別進行了分組，有助于更詳細地了解哪些應用程序具有最大的安全風險。主要調查結果以及按類別分列的詳細數據如下。教育類應用教育類應用程序程序：疫情期間，教育類應用程序在實現遠程教育方面發揮了重要

23、作用。值得注意的是，Synopsys 發現教育類應用程序的漏洞總數最多，并且有 PoC、漏洞利用程序或 RCE 的漏洞所占百分比也最高。幸運的是，這些應用程序并不屬于的前三類缺乏解決方案且易受攻擊的應用程序，但它也提出了有關安全實踐的一些問題。這些具有已知解決方案的漏洞為何沒有得到修復？如果漏洞被利用，影響會是多大？這些應用程序因疫情爆發而突然變得非常重要，用戶相信它們能夠妥善處理其個人信息。在文化方面，我們一直相信教育是可信的，于是放松警惕，認為教育工具是安全的。我們還相信孩子們可以安全地使用這些應用程序，因此，這些調查結果有些令人感到特別沮喪。銀行類應用銀行類應用程序程序：CyRC 令人不

24、安的另一個調查結果是，銀行類應用程序的可修復和不可修復漏洞數量均位列前三。這使我們的金融數據面臨很大風險；我們相信這些應用程序能夠妥善處理敏感的個人信息。通過實施能夠幫其找到可用漏洞解決方案的安全工具，開發人員可以輕松地消除本研究中發現的近 40%的漏洞。通過對漏洞進行優先級排序并集中資源來處理最緊迫、最危險的潛在漏洞，開發人員可以找到變通解決方案來彌補安全差距。對各類應用對各類應用程序程序進行分析的具體結果進行分析的具體結果 在所有具有相應 BDSA 的漏洞中：具有可利用 BDSA 和可用修復程序的應用程序中占比最高的類別：具有可利用 BDSA 但沒有可用修復程序的應用程序中占比最高的類別：

25、包含漏洞的應用程序中占比最高的類別：|10 具體的信息泄漏調查結果 JSON Web 令牌令牌（JWT）65 AWS 秘鑰秘鑰 26 Twilio 令牌令牌 406 Google Cloud 令牌令牌 804 Facebook 令牌令牌 27 非對稱私鑰（非對稱私鑰（RSA）60 OAuth 令牌令牌 817 電子郵件地址電子郵件地址 10,863 IP 地址地址 27,568 其中 4 個被標記為可疑地址 URL 365,227 其中 11 個被Google Safebrowsing標記為可疑 URL 信息信息泄漏泄漏調查結果調查結果 簡單說，信息泄漏是指開發人員不小心將個人或敏感數據保存在

26、應用程序的源代碼或配置文件中。若落在壞人手里，這些信息可能會被惡意利用。CyRC 調查顯示，最常見的應用程序也沒有避免信息泄漏。為了開展此項分析，CyRC 使用 Black Duck 來檢查主要類型的信息泄漏。為了更好地理解這些調查結果的含義，讓我們來看看每類信息泄漏的后果。令牌、密鑰和密碼：令牌、密鑰和密碼：如果開發人員留下此類信息（AWS 密鑰、Google Cloud 令牌和用戶憑據等），可能會帶來巨大的潛在風險。此信息允許個人訪問某人的服務器、系統或敏感屬性。攻擊者可以從那里竊取 IP、植入惡意軟件或啟動由應用程序所有者付費的計算資源。例如，JSON Web 令牌（JWT）是一種在各方

27、之間安全傳遞信息的方式。盡管 JWT 可以被加密，但通常是不被加密的。JWT 需要數字簽名密鑰，并且本質上起到憑證的作用，因此，它們在應用中的停留時間永遠不應超過絕對必要時間。若將其留在源代碼中，則可以被輕松解碼，從而揭開有助于攻擊者利用該應用程序的信息。CyRC 在銀行類應用程序中發現了四個 JWT，在預算類應用程序中發現了三個 JWT，引起了很大的關注。IP 地址和地址和 URL：如果應用程序指向某些 URL/IP，它們可能會在無意間引發有害活動。例如，某些 URL/IP 可以主動為惡意內容或其它不適當的內容提供服務。另一些 URL 可能只是簡單地公開私有 API、內部系統或隱藏的供應商資

28、源，從而為惡意行為者提供開放式攻擊途徑。無論哪種情況，使用它們都會觸發危險信號和問題。電子郵件地址：電子郵件地址：意外留在源代碼中的電子郵件地址可能會在無意中泄漏內部系統（例如域）和用戶名。它們可被用來發動對系統用戶的攻擊切入點（尤其是與令牌或 IP 地址結合使用時）或網絡釣魚攻擊。以上任意項的組合：以上任意項的組合：攻擊者可將其收集到的零散信息與其擁有的其它數據結合使用，從而填補空白并找到攻擊途徑。例如，攻擊者可將電子郵件和與使用面向遠程 API 的 URL 的用戶名、密碼的結合在一起，以發現易于利用的攻擊途徑。任何類型的信息泄漏都應被視為需要優先處理的高風險安全事件，可能會給開發者和用戶帶

29、來嚴重后果。|11 信息信息泄漏泄漏案例研究案例研究 在最近一個令人記憶深刻的的信息泄漏真實案例中，SolarWinds 公司近期成為供應鏈攻擊的受害者。如該公司在 2021 年 2 月 26 日所述，一名前實習生因為粗心的信息安全操作而泄露了一個關鍵出奇地內部密碼（solarwinds123）。一旦該密碼泄漏，使得涉嫌發動此次攻擊的俄羅斯黑客能夠訪問 SolarWinds 用來為其旗艦產品 Orion 編排軟件更新的系統。從這里攻擊者將惡意代碼插入到本來合法的軟件更新中。一旦被插入到代碼庫中，SUNSPOT 惡意軟件便可監視并識別 Orion 編譯所涉及的進程，通過替換源文件來植入作為合法

30、Orion 插件之惡意版本的 SUNBURST 惡意軟件。格外小心翼翼地不破壞任何 Orion 構建，并將惡意流量與其他的SolarWinds 網絡流量相混合，攻擊者得以逃脫開發團隊的注意。一旦 Orion 更新包被部署到大約 1.8 萬客戶，SUNBURST 便會將信息發送回攻擊者，其被用來為其它的惡意軟件、更廣泛的訪問和間諜活動尋找目標。目標中一些是財富500 強企業，例如 Microsoft 和 Intel 等，以及國土安全部和財政部等政府機構。透過這個案例，信息泄漏的影響一目了然。CyRC 發現的大量潛在信息泄漏案例揭示出令人不安的趨勢。如若不能解決信息泄漏安全問題，則應用程序及其用戶

31、都將容易受到攻擊。通過在部署之前編譯狀態階段分析應用程序，Black Duck 等工具可以幫助輕松識別和減輕信息泄漏風險。這樣企業能夠加強其安全勢態，避免發生諸如 SolarWinds 之類的慘痛錯誤。10,653 個不供第三方應用程序使用的權限 15,139 個敏感權限 33,385 個普通權限 移動權限調查結果移動權限調查結果 用戶需要知道他們允許應用程序訪問哪些個人數據，還需要了解他們所授予的權限級別以及黑客獲取這些信息的潛在影響，包括巨額話費、訪問家庭安全系統、甚至訪問個人位置數據。企業和開發人員需要知道其硬件中嵌入了哪些第三方移動應用，還需要了解潛在安全差距和第三方應用程序可以訪問的

32、個人數據量，并且了解相關責任級別至關重要。從供應鏈的角度來看，在采購第三方應用程序時，企業和開發人員必須在無需訪問源代碼情況下確保安全性。CyRC 使用 Black Duck 來檢查與主要 Android 應用程序相關聯的移動權限。CyRC 首先按類別和總體檢查了每個應用要求用戶的訪問權限的平均值。接下來，CyRC 對平均值超出兩個以上標準偏差的特定應用進行了研究，尤其是那些權限請求數量遠遠高于平均數的應用程序。CyRC 發現，每個應用平均需要 4.5 個敏感權限，3 個不供第三方應用程序使用的權限 第三方應用程序是指不由操作系統提供商開發的應用?？紤]到需要用戶放棄的個人數據和控制權，這些數值

33、似乎過高了。|12 每類應用程序所需的權限平均數 具體的移動權限調查結果具體的移動權限調查結果 經分析，CyRC 確定共有 111 個應用程序所需的權限遠遠超過 18 個權限的平均值（約占我們研究組的 3%）。某些應用程序類別具有更高的另類另類應用程序百分比（移動權限需求遠高于平均值的應用程序總的百分比）：教輔類工具：7%健康與健身類應用程序：6.5%最暢銷交友類應用程序：6%教育類應用程序：5.6%某些應用程序類別的權限數量高于平均水平：預算類應用程序：平均 26 個權限 支付類應用程序：平均 25 個權限 銀行類應用程序：平均 25 個權限|13 為了更清楚地了解這些過度權限需要什么，Cy

34、RC 深入研究了新冠疫情期間需求量出現顯著增長的兩類應用程序 教輔類應用程序以及健康與健身類應用程序。教輔類應用教輔類應用程序程序：這是一類非常受歡迎的應用程序，因為新冠疫情期間的遠程學習嚴重依賴于適合教師和各個年齡段兒童的技術。CyRC 發現，這一類別的另類應用程序需要 26 個或更多權限才能使用此類應用程序。一個下載量超過 100 萬次的應用程序需要 11 個權限，Google 將其歸類為“危險防護級”（Protection Level:Dangerous）權限。這非常令人擔憂，因為 Google 僅將 32 類權限歸類為“危險”權限。任何需要 11 個信息或數據訪問權限的應用都有可能暴露

35、信息，必須再三考慮。這些危險權限也稱為運行時權限，它們允許應用程序訪問受限數據和執行受限操作，并且許多此類權限都允許應用程序訪問私有或敏感的用戶數據。在這類應用中，家長應對其中的某些權限給予注意，特別是“訪問精準定位”（Access Fine Location）權限。某些情況下，應用程序可能真的需要這一級別的智能，但是，黑客亦很容易利用這一權限來獲取孩子的確切位置。應用程序開發人員有其它選擇：“訪問粗略定位”（Access Coarse Location）權限，提供不太精準的大概位置數據，因此更適合涉及未成年人的情況。|14 健康與健身類應用健康與健身類應用程序程序：隨著體育鍛煉轉移到線上并走

36、入家中，CyRC 開始探索健康與健身類應用程序的安全性。CyRC 發現，這一類別的另類應用程序需要 38 個或更多權限。一個下載量超過 500 萬次的應用程序總共需要 56 個權限，其中 31 個被 Google 歸類為“危險防護級”（Protection Level:Dangerous）權限，或是不允許第三方應用程序使用的簽名權限。這些權限級別可能表明這是一個開發質量極差的應用程序，開發人員沒有完全了解 Android 權限。雖然開發人員可能并非出于惡意，但并不能避免潛在危險和對用戶的威脅。不允許第三方應用程序使用的權限包括：工廠測試（工廠測試（Factory Test）“工廠測試”權限允許

37、應用程序以根用戶身份運行，從而允許其訪問整個電話。所分析的所有其他應用程序中均不包含此權限。此權限還需要“讀取日志”，這使應用程序可以讀取包含有用戶私人信息的系統日志文件。第三方應用程序永遠不應使用此類權限。出現此權限問題的原因只有兩個：開發人員在設置該應用程序時出錯，或者發生了惡意或可疑行為。一旦是開發錯誤所致，這類關鍵性權限在黑客入侵時也可能造成極大危害。黑客將擁有對移動設備以及對該應用程序的 500 萬用戶數據的完全訪問權。通話通話特權特權（Call Privileged）“通話特權”權限允許應用程序撥打任何電話號碼，包括緊急號碼，無需使用電話撥號器或要求電話所有者確認呼叫。這可能會導致

38、昂貴的行為，如撥打國際電話。應用程序沒有必要為了追求目標功能而提供此類權限。這似乎又是開發者不了解此類權限級別以及在應用程序中使用此類權限的相關后果所致。處理撥出電話（處理撥出電話（Process Outgoing Calls）“處理撥出電話”權限允許應用程序查看撥出電話中撥打的號碼，并帶有呼叫重定向選項。健康與健身類應用程序幾乎沒有任何理由需要這個級別訪問。藍牙特權（藍牙特權（Bluetooth Privileged）“藍牙特權”權限允許應用程序在無需任何用戶交互的情況下配對藍牙設備，并允許應用程序訪問聯系人和消息。這完全是過度的和不必要的訪問。|15 總之，該應用程序需要 10 個不允許第

39、三方應用程序使用的權限，該應用程序對具有侵害性且明顯不必要的級別的訪問請求，表明其安全性很弱，編碼實踐很差。此類權限中很多都有能夠提供類似所需功能但又不會對用戶造成侵害的替代方案。此外，用戶還應詢問健康與健身類應用程序為何需要重定向電話或根用戶身份訪問權限。雖然在一些最受歡迎的應用中發現了這些令人震驚的案例，但總體數據顯示，每類應用程序中都包含有使用問題權限的應用程序。CyRC 并不是確定這些潛在危險權限的意圖，只是為了給用戶和開發人員敲個警鐘。用戶需要了解他們為應用程序提供的訪問級別，以確保其數據安全性。開發人員需要了解應用程序中包含的權限，并探索潛在危害較小的替代方案。這是確保應用程序安全

40、的關鍵步驟?？偨Y總結 毫無疑問，此次新冠疫情期間的應用安全狀況調查同時引起了關注和疑問。作為開發人員或業務人員，可能會對如何訪問和加強自己的應用程序的安全性存在疑問。作為用戶，可能會對當前風險的相對水平以及對允許應用程序訪問的個人數據量存在疑問。用戶必須知道哪些信息可能會在網上泄漏，這一點很重要。當下載應用程序時，如果遇到全新或更新的條件和權限條款，則應考慮加大審查力度。孩子是否需要要求其確切物理位置的應用？或者是否需要訪問他們的相機？是否確定需要允許健身應用訪問您的電話簿和撥打電話的權限？供應商一般都會滿足用戶的安全性和私密性要求。開發人員還應知道怎樣武裝自己和團隊，以應對可以避免的安全疏忽

41、和編碼錯誤。Synopsys 的 Black Duck SCA和 Black Duck Binary Analysis 等解決方案可及時通知有關開源漏洞、潛在信息泄漏實例以及移動權限的最新信息。有了這些工具及其提供的信息，便可以采取明智的措施并簡化應用程序安全流程。利用強大的能夠分析開源、專有和編譯后二進制文件并提供實時可行修復建議的 AppSec 解決方案，可以實現并一直確保應用程序及其用戶的安全。如想了解有關 Black Duck Binary Analysis 的更多信息，請查看我們的網絡研討會或訪問我們的網站。1 Sarah Perez，新冠疫情的爆發導致應用下載量、使用量和消費者支出

42、在第二季度均創下新高（Coronavirus impact sends app downloads,usage,and consumer spending to record highs in Q2），TechCrunch，2020 年 7 月 9 日。2 同上。|16 Synopsys 與眾不同與眾不同之處之處 Synopsys 幫助開發團隊構建安全、高質量的軟件，在最大限度降低風險的同時提高速度和生產力。Synopsys 是應用安全領域公認的領導者，提供靜態分析、軟件組成分析和動態分析解決方案，使開發團隊能夠快速發現和修復私有代碼、開源組件和應用程序行為中的漏洞與缺陷。只有 Synopsy

43、s 能夠結合利用業界領先的工具、服務和專業知識，幫助企業在 DevSecOps 和整個軟件開發生命周期中優化安全和質量。關于關于 CyRC Synopsys 網絡安全研究中心（CyRC）致力于加速訪問有關軟件漏洞的識別、嚴重性、利用程序以及緩解和防御措施的信息。為了履行 Synopsys 的遠大使命，打造使生活更安全以及更高質量的軟件，CyRC 持續不斷地發布支持強大網絡安全實踐的研究成果，以提高人們對安全問題的認識。有關更多信息，請訪問 Berry Street,Suite 6500 San Francisco,CA 94107 USA 聯系我們：聯系我們：美國銷售：800.873.8193 國際銷售：+1 415.321.5237 電子郵件：sig- 2021 Synopsys,Inc.版權所有，保留所有權利。Synopsys 是 Synopsys,Inc.在美國和其他國家的商標。Synopsys 商標列表可在 中找到。本文提及的所有其他名稱均為其各自所有者的商標或注冊商標。2021 年 3 月