中国互联网信息中心研究院网欢迎您!   现在时间:
设为首页 |  加入收藏
栏目导航
热点推荐
您现在的位置:首页 > 合作交流合作交流

应用程序安全漏洞已成软件应用大威胁

发布时间:2020-1-2 18:16:31  来源:  作者:   查看:128次
 天下没有完美的事物,软件会有Bug,就跟一般人会说错话、写错字一样,在所难免。然而,随着当前行动应用与大数据技术蓬勃发展,我们对于应用程序与云端服务的依赖程度日渐提升,对于系统的可靠度与软件质量的要求也连带水涨船高。       不论是硬件或硬件的因素,系统只要出一次包,就可能影响成千上万使用者。不过,若是一般的硬设备故障或网络服务停摆,我们尚且能搭配各种高可用性与备援机制,将受影响的程度降至最低,但其中执行的程序一旦有功能性的失误,甚至有安全漏洞,想要修正就没那么简单,因为可能要先找到问题所在的程序原始码、提出解决方法、重新发布调整过的程序或安装修补程序,甚至有时必须要先让应用系统脱机,才能套用修正的方式,若是牵涉到服务器端与客户端程序或设定的重新部署,来来回回之间,往往又要耗费许多时间和人力进行。       对于软件质量的判断,通常我们分为功能性与安全性等两大层面,一般应用程序或系统上线之前,多多少少都会检核程序是否符合这两种性质的需求,但比较偏重功能性的验证,因为要判断程序执行时是否能满足需求,相对容易,至于安全性的部份,若开发时没有考虑到功能遭到滥用的可能性,而刻意限缩特定程序执行的条件,之后若被人发现有这样的漏洞,可能会让人乘虚而入。       软件重大安全漏洞越演越烈,对许多IT人员来说,持续关注系统资安弱点信息、定期执行漏洞修补,已经成为例行公事之一。从2001到2003年之间,开始有许多恶意软件利用Windows、IE、Outlook Express、Outlook的安全性弱点发动攻击,肆虐全球个人计算机与服务器,像是Code Red、Nimda、Blaster、Sasser等蠕虫,也是在那段时期,微软强化了Windows XP更新机制与系统防护,并决定在每月第二周的周二定期发布系统更新。     除了微软,在个人计算机使用率相当高的数字内容格式Adobe PDF和Flash在2009年之后,也因为漏洞而频频遭到攻击,到了2012年、2013年,Java成为新的苦主,2013年1月,美国国土安全部计算机紧急应变小组甚至呼吁使用者,在甲骨文公司推出稳定Java版本前,应继续停用浏览器上的Java功能,然而在2月时,几家知名的网站和IT公司也都纷纷中招,包括推特(Twitter)、脸书(Facebook)、苹果和微软都宣布内部计算机因此遭骇的状况。       到了今年4月,提供SSL/TLS加密传输功能的开放源码套件OpenSSL,发布Heartbleed臭虫的重大安全通告,这套应用上相当普及的函式库,在TLS/DTLS 传输安全层的heartbeat(心跳)扩充功能之中,有程序臭虫,若该漏洞遭黑客利用来发动攻击,会造成内存存放数据外泄,有可能从服务器端外泄到客户端,或者由客户端外泄到服务器端。       受到该漏洞影响的OpenSSL版本,包含1.0.1到1.0.1f,以及1.0.2-beta,而目前有许多Linux和FreeBSD操作系统都内建OpenSSL,这些版本的OpenSSL已整合其中,因此Debian、Ubuntu、CentOS、Fedora、OpenBSD、FreeBSD及NetBSD当中一些版本,也都遭到波及。此外,因为许多系统与软硬件产品也采用OpenSSL,或是内建整合OpenSSL的软件平台,例如开源的网站服务器平台Apache和nginx,所以牵涉到的范围更广泛。       例如,就连Google、Amazon的网站服务,以及Cisco、Juniper的网络设备都深陷安全漏洞的风暴,还有VMware的虚拟化平台与管理软件、MySQL、MariaDB和PostgreSQL等数据库系统,以及Symantec、McAfee、Kaspersky、F-Secure、Sophos旗下一些资安软件的特定版本,也受到影响。       由上面的例子来看,应用程序的安全漏洞所引发的效应越来越大,而且日益复杂,要在短时间内修复,都需要时间,所牵涉到的软件性质也日益多元化──从一开始针对个人端计算机的微软Windows操作系统、IE浏览器与Office应用程序,以及PDF、Flash及Java,现在许多网站服务器、云端服务运作时所仰赖的重要组件,也被踢爆有软件安全漏洞的问题,除了事后要有完善的机制,尽速亡羊补牢,更重要的是记取教训,做到事前预防,才能够降低漏洞出现的机率,连带地,后续黑客如果想要用漏洞来发动攻击,也会越来越困难。但若要达到这样的目标,从软件还没有释出、正式上线之前的开发过程中,就要采取对应的作法,目前像是微软、Adobe、Cisco等公司,都已经发展或导入了所谓的软件安全开发生命周期(Security Development Lifecycle,SDLC),由于安全性也是软件质量的一部分,因此,通常都会透过测试的方式,在软件正式发布前,执行相关的功能与安全性检验。       行动装置成为市场宠儿,也成为恶意软件横行的新战场。       除了个人计算机和服务器端会有应用程序安全漏洞,行动装置的操作系统平台和App也都是由开发人员所写出来的软件,同样不可能做到100%无漏洞,而两个主要平台Android和iOS,当然也是有心人士锁定的目标。        以市占比例最大的Android装置数量来说,市调分析机构Gartner和IDC均预测今年底将突破10亿个,因为太过普及,所以,在这个平台所发展的恶意、高风险或扰人App也是最多。根据趋势科技全球技术支持与研发中心所发布的《2013年TrendLabs信息安全总评》来看,2013年底已累积140万个,单就2013这一年就出现了1百万个新的App威胁,2014年底预估将突破300万个,不过在趋势科技最新公布的《2014年第一季TrendLabs信息安全总评》当中,他们发现相关的App威胁现在就已经突破2百万个。        除了App威胁,过去我们所熟悉的网络钓鱼网站、垃圾邮件诈骗威胁,行动装置同样会面临,值得注意的是,针对行动装置平台的漏洞攻击也开始增多,例如去年Android平台爆出MasterKey漏洞(CVE-2013-4787),已经安装的正常App可能在不知情的状况下被偷换成恶意软件;另一个攻击是叫做Backdoor.AndroidOS.Obad的恶意软件,运用类似后门程序与rootkits的手法,透过操作系统漏洞──root与装置管理者的权限,取得整台Android装置的权限;而苹果的行动装置平台iOS6也传出安全漏洞,若iPhone或iPad接上黑客所改造、特制的充电座,这个弱点将会授与对方完整存取这个设备的权限。       有些漏洞则可以影响任何行动装置操作系统平台,因为问题出在跟所连接的周边装置有关,例如行动装置搭配的SIM卡,当中所采用的旧型加密系统有程序臭虫,黑客只需传送SMS简讯到这台装置,即可触发装置错误,进而释出56位长度的安全密钥,而这把密钥可以触发下载恶意的Java Applet,以便散播简讯和位置监控等恶意行为。       到了今年3月,趋势科技发现了一个针对Android 4.0以上版本的系统漏洞,它要是遭到有心人士滥用,可能会造成系统不断重新启动的状态,如此等于让行动装置应提供的各种功能处于失效状态,无法操作、通话。同月,又出现了另一个自定权限漏洞,它让App能够读取其他App所保护的数据,而这可能会导致机密外泄。        IOS和Mac OS X今年初也出现安全漏洞CVE-2014-1266,这是跟SSL/TLS加密联机有关的弱点,攻击者可能撷取或修改联机过程中所传输的数据,问题在于传输时并未验证联机的真实性。若未修补这项漏洞,苹果的行动装置在连上因特网时,有可能因此受到监听及联机挟持。       该漏洞影响的操作系统版本算是不少,包括iOS 6到6.1.4、iOS 7到7.0.5、Mac OS X 10.9和10.9.1,以及Apple TV 6.0和6.0.1。后来,苹果为此陆续发出iOS 7.0.6、Mac OS X 10.9.2和Apple TV6.0.2的安全更新檔。
Copyright © 2018 移动互联网专业委员会  版权所有 京ICP备14013898号-1
未经许可网站内容禁止复制、转载,任何人不得擅自使用