如何高效检测APK漏洞,腾讯安全这款神器了解一下

在刚刚过去的315晚会上,央视曝光了某些第三方开发的SDK包存在违规收集用户个人信息的情况,导致隐私泄露问题。对此,工信部已要求依法依规严厉查处涉事企业,并表示将采取常态化监管措施,加强移动互联网应用程序APP综合治理,并推动技术手段建设,大幅提升技术检测水平。

全民“触网”时代,用户在高频使用手机APP的同时,也让自身暴露在诸多风险之下。随着移动安全威胁与日俱增,通过应用检测服务来提升应用安全性,已经“箭在弦上”。

如何高效率检测应用漏洞,成为应用安全行业急需解决的难题,对此,腾讯安全科恩实验室推出ApkPecker工具,高准确率、高效率检测应用漏洞。

01移动应用漏洞为何“频频”爆出?

你可能很难想象,类似话费被扣、银行卡被盗刷、手机内信息被泄漏,这些问题的产生,可能只是因为手机里的某个APP被开发者写错了一个编码或者稍微变动了某个参数。这些防不胜防的移动安全问题,恰好反映了移动应用行业的复杂现状。

(图:来自腾讯安全科恩实验室2018年Android应用安全白皮书)

系统安全存在隐患,提前破坏安全机制:Android作为一个开源系统,所有人都可以研究源码,进而根据需求开发新的系统和应用程序,成为了恶意程序的天然温床。甚至部分用户会为了获得对手机的“自由掌控”权,主动获取root权限,方便自己使用的同时,也给了黑客入侵“窗口”。

开源组件碎片化,安全修复困难:为提高应用开发效率,减少类似功能的重复开发成本,应用开发商往往选择引入公开现成的开源组件。但第三方开源组件本身存在的安全问题不易被开发商发现,从而在开发过程中转嫁给了移动应用上,难以被追踪和修复。

安全能力不足,“避雷”力不从心:移动应用开发本身门槛低,开源组件的复用进一步降低了开发难度,使初学者可以迅速学习并实现基本功能。由于这些开发人员安全能力有限,遗漏、误用安全措施都可能造成新的安全隐患。

安全投入不足,安全生命周期管理缺失:Android 移动应用的开发涉及诸多环节,每个环节都可能存在引发安全问题的漏洞。由于安全投入不足,部分开发商无法系统、完整地管理应用安全生命周期,没能在完成开发后进一步进行安全扫描、漏洞修复等工作。

应用安全问题产生原因复杂,单一的系统或者工具难以解决相关问题。对于安全人员来说,借助应用漏洞扫描工具定位安全隐患并予以修复,是移动应用安全的第一道 “防火墙”。

02腾讯安全ApkPecker 为应用检测提供最优解决方案

现有的应用检测以代码扫描为主,这种简单的检测模式检测出来的漏洞有效信息少,需要花费巨大的人工成本进行确认和分析。这已经成为安全人员在使用检测工具中的一大痛点。

基于此,腾讯安全科恩实验室自主研发了一款Android 应用漏洞扫描工具ApkPecker,对应用漏洞进行扫描,同时输出高质量漏洞扫描报告,提供高品质漏洞信息以及漏洞触发完整路径,精准定位漏洞并提供修复建议,为更多的企业、移动安全人员提供更多的服务。

· 先进的检测模式

漏洞检测就像是一场置身其中的“迷宫游戏”,随着检测工作的深入,这个迷宫的形状逐渐扩大。同时,你将拥有多个起点和终点,但无法确定这些点具体在哪里。虽然对这个迷宫的探索可能达不到100%的完整,但只要能够弄清楚其中的一条完整路径,就能够成功通关。

过去,简单的代码扫描检测,就相当于把迷宫的局部信息汇总,需要安全人员自己去判断、分析漏洞的触发路径。而腾讯ApkPecker采取静态检测方式,具体而言,静态扫描的技术原理是静态数据流分析和污点分析技术。基于此,ApkPecker能够构建所关注的数据流向,提供从数据源到漏洞点的数据流路径,保存一次分析中所有上下文信息,为漏洞提供多层级的综合判断依据,提高准确率。

针对静态分析的检测结果,ApkPecker支持POC程序的自动化生成,以动态程序自动化验证漏洞,直观体会漏洞可能产生的影响。目前,Apkpeckr支持生成的POC种类≥50 种。

· 全面的攻击面覆盖

参考木桶原理,应用安全风险并不以最强的防御措施来衡量,而是由短板的攻击面风险情况决定。基于腾讯安全丰富的移动应用渗透测试经验和前沿的攻击模式分析总结,ApkPecker覆盖了公开组件、外置存储空间、WebView回调、JavaScriptInterface回调、开放Socket端口等全面的攻击面。

ApkPecker对上述攻击面的静态分析结果不仅能够覆盖32种Android应用通用漏洞模型,还可以提供从攻击面入口到漏洞触发点的一条清晰完整的数据流路径,帮助安全人员精准定位漏洞从而进行修复。

基于以上,ApkPecker会出具一份界面清晰友好的检测报告,根据需求高精度筛选不同安全等级的漏洞结果,并给出修复建议。

 

(图:腾讯ApkPecker移动应用安全检测报告)

· 行业领先的检测准确率

整体来看,腾讯ApkPecker 的漏洞自动挖掘能力可以通过以下几个关键指标体现:

  • 具备对程序源文件的漏洞检测功能,支持检测漏洞种类≥14种

  • 具备内部数据交互的漏洞检测功能,支持检测漏洞种类≥19种

  • 具备通信数据传输的漏洞检测功能,支持检测漏洞种类≥10种

  • 具备本地数据存储的漏洞检测功能,支持检测漏洞种类≥22种

  • 具备APP常用的SDK的特征库,内置第三方sdk的特征≥1200个,对APP应用进行第三方sdk识别

  • 具备针对漏洞检测结果,支持POC程序的自动化生成,以动态程序自动化验证。支持生成的POC种类≥50种

基于强大的漏洞检测能力和庞大的漏洞检测规则库,腾讯ApkPecker已针对主流市场上30w+的应用进行了通用漏洞检测,检测出476w+漏洞,且漏洞检测结果准确率≥85%,误报率不高于15%,处于行业领先水平。 

03能力开放 腾讯安全打造产业升级的“防护盾”

事实上,腾讯安全科恩实验室在移动应用安全领域深耕十余年,在成果上,积累了领先的技术实力和以及科研成果。在保持对前沿技术研究能力的同时,腾讯安全科恩实验室已通过产品化的方式向Google、PayPal等知名 开发商输出移动应用安全检测能力,守护全网用户信息安全。

伴随人工智能和机器学习技术在大数据时代迅猛发展,大量恶意样本以及漏洞特征的积累,为腾讯安全科恩实验室迭代产品和技术能力提供了数据基础。近年来,科恩实验室陆续开放自身核心技术能力,为汽车信息安全、智能应用生态安全、IoT信息安全等行业的数字化和信息化转型推出了聚焦产业实际痛点的行业安全解决方案,加快与ICT、数字化汽车以及传统汽车等企业的合作。

未来,腾讯安全科恩实验室将继续开放技术能力,在更多重要的安全领域,打造 “无形却可被感知,隐藏却可被召唤,看不见却广为人知”的安全解决方案,成为各行业数字化转型改革的 “防护盾”。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/24690.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信被爆出存在高危漏洞!(求扩散)

开发者(KaiFaX) 面向全栈工程师的开发者 专注于前端、Java/Python/Go/PHP的技术社区 转载自公众号【Java面试那些事儿】 微信被国内某安全团队爆出,在PC版客户端中捕获到一个高危等级的在野0day漏洞。建议3.2.1.141版本以下的用户立即更新&am…

用司马阅轻松搞定长文阅读难题,帮你提炼总结出重点!

将文档上传到司马阅的官网https://smartread.cc/,司马阅即可对文档内容进行分析与总结,即使是外文稿件,也会为你提供中文的要点提炼。 例如我们想通过《提问的艺术 for CHATGPT》这本书获得prompt的技巧分享,可以将这本书的pdf文件…

推荐一波有趣且实用的奥特曼表情包

奥特曼00001-安排.jpg 奥特曼00002-咕叽咕叽啪啦啪啦.gif 奥特曼00003-校服校霸.jpg 奥特曼00004-摇滚奥特曼.gif 奥特曼00005-诸葛亮变色赛文.gif 奥特曼00006-奥特曼打工.gif 奥特曼00007-让老子看看你是什么类型的傻逼.jpg 奥特曼00008-质朴.jpg 奥特曼00009-溜了溜了.jpg 奥…

奥特曼系列ol服务器维修,奥特曼系列OL分解系统玩法介绍

奥特曼系列OL分解系统玩法介绍,当小伙伴往往无法直接获得最强卡牌进行升级,而是需要在不断的打怪和抽奖中更新自己的卡牌品质,从而让战斗力更上一层楼,下面跟着小编一起看看吧。 奥特曼系列OL 金币紧俏,点滴战功 在目前…

奥特曼系列ol服务器名称带怪兽,《奥特曼系列ol》怪兽图鉴 怪兽阵容

《奥特曼系列ol》这款游戏中的怪兽图鉴也是很多玩家非常关注的问题之一哦,随着游戏的不断的更新,游戏也是加入了不少全新的玩法,一定让很多玩家觉得有些迷惑吧。下面小编为大家带来《奥特曼系列ol》怪兽图鉴以及怪兽阵容,希望大家…

不要对chatgpt过度反思 第一部分

最近一段时间,chatgpt很热,随意翻一些文章或视频,一些非常整齐一致的怪论,时不时都会冒出来。 为什么这种革命性创新又出现美国? 为什么我国互联网只会电商,没有创新? 为什么我们做不出来&…

智能音箱语音交互系统简介与测试初探

获取更多技术资料,请点击! 随着AI技术的发展,智能语音交互技术也得到了巨大的发展和应用。由于语音是最自然的交互形态之一,有着输入效率高、门槛低、方便解放双手以及能有效进行情感交流的优势,使得智能音箱成为语音…

ict的终极模式 是软件研发

什么是ICT呢?先别忙,首先我们来了解一下什么是IT和什么是CT。 IT:是Information Technology的缩写,中文意思是信息技术,是指在计算机技术的基础上开发建立的一种信息技术。我们日常工作和生活中经常接触到这个名词。最…

烧钱数亿后,趣店罗敏的预制菜业务从兴到衰

雷递网 雷建平 9月7日 从高调杀入预制菜行业,到精简业务规模,趣店CEO罗敏的短短50天经历,浓缩了一个公司业务从兴到衰的全过程。 昨日,趣店称,在评估了当前的市场状况后,公司决定精简其预制菜业务。随着预制…

高校学生消费行为分析系统

目 录 摘 要 I ABSTRACT II 1 绪论 5 1.1选题背景及意义 5 1.2研究现状 5 1.2研究主要内容 5 2 系统相关技术介绍 7 2.1聚类算法 7 2.2 ECharts 7 2.3 Python 7 2.4 MySQL简介 8 3 系统分析 9 3.1 功能需求分析 9 3.2 业务流程分析 10 3.3 数据流图 14 3.4 数据库概念模型设计 …

自动驾驶数据之争,走向合规

报道数字经济 定义转型中国 撰文 | 泰伯网 编辑 | 鹿野 2015年12月,一辆百度无人车从京新高速到五环进行了最高时速达100公里的全自动行驶,将国内自动驾驶推向大众视野。 当自动驾驶产业随时间沉淀驶入商业落地的下半场,百度对这场自动驾驶…

Android Studio App开发中多线程的讲解与实现新闻轮播滚动实战(附源码 超详细必看)

运行有问题或需要源码请点赞关注收藏后评论区留言 ~~~ 一、分线程通过Handler操作界面 为了使App运行的更加流畅,多线程技术被广泛应用于App开发,由于Android规定只有主线程才能直接操作界面,因此分线程若想修改界面就要另想办法&#xff0c…

遇到老赖找催收公司靠谱吗?

转自:http://wenzhang.zhaizhuanzhuan.cn/Detail.aspx?id62B3DBAE-B4E1-F634-F56B-8D8B5F7D2AE0 老赖与催收公司貌似是相互制衡的存在,一个敢“赖”,一个敢要。当这两种极端的个体碰到一起之后,他们真的会相互制衡吗? 就拿身边的…

Android App网络通信中通过runOnUiThread快速操纵界面以及利用线程池Executor调度异步任务实战(附源码 简单易懂)

运行有问题或需要源码请点赞关注收藏后评论区留言私信~~~ 一、通过runOnUiThread快速操纵界面 因为Android规定分线程不能够直接操纵界面,所以它设计了处理程序工具,由处理程序负责在主线程和分线程之间传递数据,如果分线程想刷新界面&#…

记一次基于模板方法的设计开发过程

1、背景 本人做抵押贷金融系统开发,最近在开发过程中,遇到一个新的需求,公司和原第三方支付公司有一定的矛盾,造成支付能力支持不足,公司内部进行的新支付系统的搭建,所以需要将原支付功能对接到新支付功能…

2022 读书总结

2022 年主要阅读了文学类和理财类书籍,增加了几本杂项书籍,具体如下: 文史类 4 本 《软技能 2-软件开发者职业生涯指南》- 约翰.森梅兹《三体:黑暗森林》-刘慈欣《三体:死神永生》-刘慈欣《浪潮之巅》- 吴军理财类 7 本…

派森小镇(五)帮助

雾霭沉沉,水波澄碧。在一处悠远僻静的地方上有一个神奇的小镇,小镇的名字叫派森镇。小镇的前面有一条河,碧蓝的水映出小镇周围水墨画般朦胧的世界。 小镇上的人一出生就拥有特殊的技能,他们中的每一个人都是python的成员&#xff…

零基础 Amazon Web Services (AWS) 入门教程图文版(一)

现在小站唯一的流量都靠AWS这个关键词了,刚好要用AWS重新建站,所以从头开始记录一遍吧。 所谓零基础,就是你可以没有任何AWS使用经历,仍然能够按照教程操作下去。所谓图文版,就是建议手机用户在没有连Wifi的情况下尽量不要查看全文。图片一般都有大图,看不清的可以点击查…

Java岗大厂面试百日冲刺 - 日积月累,每日三题【Day22,linux内核视频教程

优秀问答摘自:https://ask.csdn.net/questions/1101634 两者的共同点: 都是用来协调多线程对共享对象、变量的访问 都是可重入锁,同一线程可以多次获得同一个锁 都保证了可见性和互斥性 两者的不同点: ReentrantLock 显示的获…

百万奖金悬赏大模型不擅长的任务!这 11 个任务模型越大,效果越差!

夕小瑶科技说 原创 作者 | 智商掉了一地、Python 去年咱们在介绍百万悬赏时提到,“海量资源砸出的大模型真的会一直那么香吗?”,目前来看,自打 ChatGPT 横空出世引领一众大模型开辟新的生活和工作方式以来,还是挺香的…