移动APP的安全防范等级如何才能急速提高?

区块链快讯 admin 2021-08-17 169 次浏览 0个评论

移动APP的安全一直是一个难题,此前的调研数据显示,每年至少新增150万种移动恶意软件,至少造成超过1,600 万件的移动恶意软件攻击事件。但在如此严峻的安全形势之下,APP安全意识却并没有引起足够的重视。

根据新思科技最新发布的《疫情中的安全隐患:移动应用程序安全现状》报告,疫情造成的居家办公让新APP的下载数量仅在2020年第二季度就同比增加了40%,而其中增长最快的商业类、健康与健身类、教育类和购物类APP又与我们的生活息息相关。但在2020年4月,APP创下历史上最高的2,000亿小时的使用时长里,与之相伴的却是大量APP安全漏洞、权限的过度索取、敏感信息泄漏。

  这样,如何从源头上防范APP安全漏洞,已成了一个急迫需要解决的问题。于是,在新思科技发布《疫情中的安全隐患:移动应用程序安全现状》报告的同时,我们请新思科技软件质量与安全部门高级安全架构师杨国梁解读了移动APP的防范之道。

什么是安全防护的基石

一名搏击高手致胜的法宝,首先一定要耳聪目明,在敌方攻击来临之时,第一时间内感知到对手的攻击意图。移动APP的安全防护也与此同理,透明构成了移动APP安全的首要基础。而要做到这一点,仅仅在APP的应用过程进行防范是不够的,安全防范必须在它开发的过程中就要启动。

  新思科技软件质量与安全部门高级安全架构师 杨国梁

  《疫情中的安全隐患:移动应用程序安全现状》报告显示,在选取了截止2021年第一季度国外最大的安卓应用商店Google play上最受欢迎的3,335个免费和付费的安卓应用程序,进行分析之后,新思科技发现被扫描应用程序中98%的应用程序有包含开源组件,其中又有2,115个易受攻击的应用程序,占到63%。

这其中存在一个逻辑,就是当开发者把开源组件拿过来时,直接继承了它的功能,但同时也可能把其中的安全漏洞继承了下来。于是,在被调查的银行类APP中,88%的APP包含漏洞,另有94%的最畅销游戏类APP包含有漏洞。而在最受欢迎生产效率类APP中,也有58%的APP包含有漏洞。

从中我们不难得出一个结论,安全风险不止源自开发过程中产生的漏洞,还可能源自于开发者采用的开源组件。这样,开发者就必须具备针对开源漏洞的感知能力。

对此,杨国梁认为:“一些开源漏洞无处不在,开发者必须要有一个主动的系统性的方法去规避这些安全漏洞,作为软件的开发机构,第一步要做到识别,第二步才可能做到修复。”

我们在此不得不提的还有一位幕后英雄,它就是新思科技的Black Duck Security Advisories (BDSA),它是Black Duck软件组成分析(SCA)解决方案的独特功能,可用来监测软件中的安全漏洞、信息泄露和移动设备权限。与大多数其他的软件分析工具不同,它分析编译的二进制文件而不是源代码,这意味着它几乎可以扫描任何软件,从台式电脑和移动应用程序到嵌入式系统固件。正是因为它的存在,才为我们揭示出了开源组件潜在的危险性。Black Duck软件组成分析(SCA) 解决方案帮助团队管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险。

安全防护意识为什么需要持续提升

《疫情中的安全隐患:移动应用程序安全现状》报告显示,尽管这项研究中发现的漏洞数量令人生畏,但更令人惊讶的是,检测到的漏洞中有94%具有公开记录的修复程序,这意味着安全补丁或更新以及更多的开源组件安全版本可供使用。除此之外,检测到的漏洞中有73%已经至少在两年前首次向公众披露,这表明应用程序的开发人员并没有考虑构建应用程序所使用组件的安全性。显然,APP开发人员的安全意识有待提升。

但另一方面,我们也不得不认识到另一个现象:一些跟业务相关的企业级APP,开发周期非常短,甚至从立项到开发完成只有一周的时间。这些开发人员就会面对一个很现实的问题,在极短的开发时间内却要面对太多的安全漏洞。这样,我们意识到,很多时候并非开发人员的安全意识不够,而是在两难的困境中,他们被迫选择了开发周期优先。

对于这个问题,杨国梁给出了自己的答案:“在过去的几年里,新思科技一直在努力解开这个两难问题。这个趋势叫DevSecOps,它导致了开发人员的开发时间越来越短。在极端的情况下,像亚马逊这样的公司每11秒左右就会部署一个新的版本。对此新思科技是有相应的工具以及数据的收集,我们的做法是把知情权交给开发人员,让他们去做选择。”

具体说来,杨国梁介绍说:“我们通过Black Duck 这样的软件工具,把可能遇到的安全漏洞列出来,同时说明哪些安全漏洞是有解决方案的,哪些是没有的。这样,当开发者面对海量的安全漏洞时,他们就知道在有限的时间内,应该优先去解决什么问题。”

事实上,新思科技应对开源组件的检查,还提供类似于白盒静态代码检查等一系列工具,帮助用户兼顾在DevOps的流程和快速的需求的前提下,在尽量不影响研发的前提下,把安全维持在一个比较高的程度。但我们不得不说,安全漏洞一直处于一个动态增加,并且日益成为一个越来越复杂的问题。因此在工具之外,从用户安全的角度出发,提升安全意识更重要。

安全问题的解决出路在于形成合力

通过《疫情中的安全隐患:移动应用程序安全现状》报告,我们会发现威胁并不只是来自于开源组件安全漏洞,还包括某些移动APP存在的权限索取过度、敏感信息泄漏等问题。这些问题的存在,让移动APP的安全问题变成了一个系统性的问题。要破解开这个难题,所需要的一定是一个系统性的方案。

杨国梁对此表示认同,他介绍说:“这个问题的解决需要各方的合力。首先是需要像信通院这样的机构制定出相关的法规。事实上,在我们国内已经有一些明确的法规实施起来了。其中最典型的就是《常见类型移动互联网应用程序必要个人信息范围规定》,这个规定是我们国内的规定,针对39类APP划定了个人必要信息的收集的范围。其次是需要新思科技这样的厂商,提出相关的报告和象Black Duck这样的工具。然后下游的开发企业需要提升安全意识,积极地从合规的角度去应对安全问题。”

APP频繁且过度地索要用户权限,会对用户隐私造成极大的伤害。比如获取用户的地理定位,就可能给用户的安全带来不安全的因素,而查看用户的电话本更是会直接伤害用户隐私。随着智能手机功能的增强,智能手机通过APP可能变身为一个钱包,也可能本身就是一些加密的密钥,这些信息一旦落入黑客之手,就会直接构成对个人、企业的直接威胁。

另一方面,智能手机成为智能家居或企业数字化系统的核心,又已经成为了一个不可逆转的潮流。在这种情况之下,APP安全就成了一个必须要解决的核心问题。因此,当下集结各方合力,突破这一难题已是箭在炫上。

已有 169 位网友参与,快来吐槽:

发表评论