移动数据窃取:共享应用库带来的风险

作者: anping 分类: 网络安全 发布时间: 2017-09-07 04:17 ė 6 移动数据窃取:共享应用库带来的风险已关闭评论

研讨人员表示很多挪动使用运用的共享第三方库能够经过“库内串通”添加挪动数据被盗的风险。

挪动数据窃取

英国剑桥大学罗宾逊学院教授Alastair Beresford以及牛津大学博士生Vincent Taylor及副教授Ivan Martinovic在论文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中详细谈到了这个成绩。

依据研讨人员引见,这个成绩常常被无视,由于挪动平安“通常会辨别反省使用和第三方库”,但是,他们宣称假如这些共享库被同时用于挪动数据偷盗,能够会形成更大损失。

“这种攻击,我们称之爲库内串通,当单个库嵌入到设备的多个使用就能够发作这种攻击,它可应用组合权限来窃取敏感用户数据,”研讨人员写道,“库内串通攻击的存在是由于,假如库包括与主机使用及盛行库相反权限,则能够被设备中多个使用运用。”

该研讨小组共研讨3万部智能手机,他们发现由于不同使用被授予不同权限,歹意攻击者可整合每个使用的权限,以构建用户配置文件或执行挪动数据窃取。

使用平安软件供给商Checkmarx公司使用平安战略全球主管Matthew Rose称,歹意攻击者可运用多种办法来感染共享库。

“通常来看,第三方库由维护代码库的人员来维护。由于这些库有很多奉献者,有时分很难让一团体来担任整个库代码,而这能够会允许被拔出歹意代码,”Rose指出,“还存在另一个成绩,这些库能够承继其他代码库的功用,所以在风险和对现有第三方库的应用方面存在互相作用。”

研讨人员表示,广告库能够取得额定权限,这使得这种攻击愈加风险,由于这些库可未经用户赞同下跟踪用户。

该研讨侧重于Android零碎,这是由于Android设备装置的使用列表数据可用,但该研讨小组指出他们以为在iOS上也异样是如此,由于iOS零碎存在类似的拜访控制和使用部署。

截至发稿时,谷歌和苹果公司都没有对此宣布任何评论。

挪动数据偷盗和权限变化

不幸的是,研讨人员并没有复杂的处理方案来缓解库内串通招致的挪动数据偷盗风险。这些研讨人员指出有一种办法可限制授予这些库的权限,但这样做能够会影响开发人员经过其使用获利的才能,这会对“进入市场的新使用开发人员形成威慑,而最终也能够会让用户遭到影响”。

此外,该研讨小组建议,运营使用商店的企业或许国度机构可指定政策或法律来检测和删除歹意的第三方库,但每种办法都有各自的成绩。检测很困难,由于使用能够有合法的理由将数据发送到设备外,并且,这种执法能够无法超出使用顺序的范围。

Fidelis Cybersecurity公司要挟情报经理John Bambenek称:“歹意库能够不会被发现,但还有更复杂的窃取挪动数据的办法。”

“爲了执行这种攻击,歹意攻击者需求创立一个库,由多个使用顺序运用。随后他们会压服用户下载具有很多权限的使用,”Bambenek称,“在理想世界中,歹意攻击者首先会让受益者装置具有很多权限的使用,由于这样更间接和更容易。不过,我以为在短期内这种攻击不会被武器化。”

Rose称,更重要的成绩是“人们在装置挪动使用时需求晓得它需求什麼权限”。

“这个使用真的需求拜访你的文件零碎、天文地位或相机吗?请想一下该挪动使用的预期用处是什麼,并问本人能否需求比实践更多的权限,”Rose说,“假如权限恳求与你的预期不符,则不要装置或许授予权限。”

Bambenek以为开发人员也需求慎重小心,确保不会呈现其使用经过逾越权限尝试窃取挪动数据。

“挪动开发人员以及普通开发人员都需求关注编码平安性,以及最低权限,”Bambenek称,“开发人员应该采用这种开发形式,即编写只停止必要操作的代码,这样会十分有协助。”

本文出自Anpingblog,转载时请注明出处及相应链接。

本文永久链接: http://hezhaoyu.com/archives/505

0
Ɣ回顶部