特别企划 | 漏洞、假冒、劫持,Google应用市场为何事故频发?

2017-11-20 326043人围观 ,发现 4 个不明物体 终端安全

shutterstock_421580575-796x398.jpg

Google Play Store到底怎么了?

经常关注BUF早餐铺的同学不难发现,Google Play Store最近事件频发,我们不妨先来回顾一下今年Google Play Store上发生的各种问题:

今年4月,卡巴斯基发现一款新型恶意软件通过Google Play应用商店进行传播。与其他root型恶意软件不同,这款恶意软件不仅会将自己的模块植入目标系统中,而且它还会将恶意代码注入至系统运行时库。

今年6月,Check Point的安全研究专家在Google Play中发现了一种大规模恶意软件活动。这款恶意软件名叫“Judy”,这是一款自动点击型恶意软件,目前已经在Google Play上发现有41款App感染了这种恶意软件。

今年9月,Google还从Play Store下架了近300款涉嫌DDoS的应用,这些应用甚至构建了一个名为 WireX 的僵尸网络。

最令人震惊的可能是本月初,有些用户发现一款WhatsApp的假冒版本公然出现在Google Play Store上,并且已经有100万用户的下载量。

hacking-whatsapp-android-app.png

这款应用的名称叫做Update WhatsApp Messenger,开发者尝试伪装成WhatsApp官方,开发者名称叫WhatsApp Inc.。黑客使用了一种神奇的方法伪造了开发者的名称,他在WhatsApp Inc.后面加上了一个Unicode空格,导致真假难辨,黑客真实的ID是:WhatsApp+Inc%C2%A0。这款假冒的应用会隐藏在系统中,然后显示广告,安装其他应用获取收益。

Google做了什么?

屡屡发生安全事件让Google焦头烂额,但在安全性上,Google也不是没有付出了大量心血。

一方面Google在不断完善Android系统的安全性:比如在Android Nougat中,Google改进了系统的加密功能,加固了在之前的版本中反复被爆出问题的Mediaserver组件,针对勒索软件、银行木马也限制了相关权限和API的调用;在Android Oreo中,Google引入了新的安全设置中心以及更加严格的 App 安装控制,希望保障用户的设备安全。

另一方面,Google也在提升Google Play Store恶意应用的检测能力。实际上Google Play Store的审核机制原本更加开放,造成的结果就是大量恶意软件、山寨软件层出不穷,无奈之下Google Play在2015年引入了人工审核,对原有审核流程前,添加了人工审核的环节。

TIM截图20171110182003.png

今年5月,Google推出Google Play Protect,这个功能被集成到Play Store中,它会扫描你的手机中是否存在恶意软件。

除此之外,上个月底,Google Play Store还启动了漏洞赏金计划保护Android应用,项目的名称为 “Google Play安全奖金”,赏金会发放给那些直接与Android开发者合作找出并修复漏洞的安全研究人员,赏金会达到1000美元。

白帽子首先需要把发现的漏洞直接汇报给应用开发者。漏洞修复后,黑客需要把漏洞报告提交到HackerOne。可惜的是漏洞赏金计划并不向所有应用开放,目前加入Google Play Store的漏洞赏金计划的仅有:阿里巴巴、Snapchat、Duolingo、Line、Dropbox、Headspace、Mail.ru和Tinder。

安全防护等同鸡肋?

这些措施到底能不能保护用户的安全呢?

从结果来看,显然不能

上个月,德国独立杀毒软件评测机构AV-TEST的测试结果显示,Google Play Protect等同鸡肋。

google-play-protect-av-test-score-640x488.png

AV-TEST发现,Google Play Protect只能防御65.8%的新型病毒,更可怕的是对于出现4周的病毒只能防御80%。

相反的是,大部分的专业杀毒软件都可以检测到99%的病毒,因而在测评的有效性评分上,Google Play Protect得分为0(满分6分)。

安全理念缺陷

事实上,问题频发的不仅是Google旗下的Android应用商店,甚至包括Chrome Web Store,这是Chrome用户下载浏览器插件的“应用商店”。

今年9月,流行Chrome插件User-Agent Switcher被爆出实为木马程序,这款插件的表面功能是使Chrome可以转换为别的浏览器进行访问,方便用户进行测试。

这款插件的用户数超过45万人,1300多名用户对其进行了评价,平均评分4.38颗星。插件就会把你浏览器打开的每个页面的url信息加密发送到某个地址,还会植入广告甚至恶意代码。

无独有偶,今年10月,另一款Chrome插件Adblock Plus被爆出存在假冒版本,作者仅仅通过修改AdBlock的大小写,就堂而皇之地出现在了Web Store中,在插件下架前,超过37,000的用户下载了插件。

这些事件不得不让人怀疑,是不是Google的相关政策出了问题。

TIM截图20171110181635.png

同样作为应用商店,苹果的App Store就很少出现问题,更深层次的原因可能是Google与苹果观念的不同。

众所周知,iOS系统具有封闭性,而Android平台相对开放,这样带来的结果就是,Android平台的开发者和应用数量远远大于iOS平台,而前面提到的Google在Android引进的新安全功能、修复的安全问题往往在苹果看来不值一提,因为iOS平台的封闭性,黑客很难有机会真正对漏洞进行利用。

同样的观念也体现在了两个平台的应用商店中。App Store拥有非常严格的审核制度,一款应用在App Store的审核时间往往更久,有的甚至能达到1~2周,而在Google的Play Store,可以缩短到1天。

App Store严格的审核机制带来的坏处是过于“集权”,有些时候应用甚至因为一些离奇的原因遭到下架,但好处也显而易见——为用户提供更安全可信的平台,让用户无需自行甄别应用是否安全。

或许Google和苹果采用的策略各有千秋,但现在Google开放的审核制度显然出现了问题,为用户提供安全可信的应用商店是Google Play应该做的,也是Google的远景之一,要想做到这一点要么就提升Play Protect的可用性,通过技术手段阻挡恶意软件,要么就采取更加严苛的审核制度,提高恶意应用进入市场的门槛。现行的审核机制漏洞百出,审核机制的修改迫在眉睫。

参考来源

http://www.freebuf.com/news/107333.html

https://phandroid.com/2017/10/25/google-play-protect-anti-malware-virus-review/

https://china.googleblog.com/2017/08/android-80-oreo.html

https://cn.engadget.com/2017/10/10/fake-adblock-plus-chrome-extension/

http://www.freebuf.com/news/147188.html

* 作者:Sphinx,转载请注明来自FreeBuf.COM

发表评论

已有 4 条评论

取消
Loading...
css.php