世界頂級安全大會RSA 2014 亞洲安全峰會於近日在新加坡舉行,來自全球的包括百度、EMC、 Qualys、 PaloAlto Networks、Cisco、中國電信等在內的數百位國際知名安全企業及安全專家參與了此次大會,並針對近年來發展迅速的雲安全、數據安全、移動安全等問題,進行了深入交流,分享最新技術成果。
百度安全實驗室資深研究員周榮譽受邀出席大會,並在會上發表了《Android應用劫持的攻與防》的主題演講。面對Android平臺很多正規應用被劫持的技術難題,周榮譽向與會的同行和展示了百度創新的Safezygote應用反注入解決方案,取得了熱烈反響。
APP劫持技術——手機隱私竊取的幕後黑手
「APP劫持」是近年來在移動端興起的一種非法竊私技術手段,不少惡意開發者通過在正規的應用中植入惡意程序,並使用hook(掛鈎)等技術篡改內存,監視並截獲系統或進程中的各種事件消息,將信息上傳至黑客伺服器,從而竊取用戶社交、支付、銀行帳戶密碼等隱私信息。例如百度安全實驗室最新發現的病毒「聊天剽竊手」,便是將第三方進程注入微信、QQ等應用中,通過hook技術竊取用戶聊天內容及聯繫人信息,帶來嚴重的安全威脅。
據百度《2014年第二季度移動安全報告》顯示,和上一季度相比,僅國內隱私竊取類惡意軟體的比例上漲達到了17.9%,上漲幅度達到了57%。其中「APP劫持」技術的運用,已經成為隱私竊取類惡意軟體發展的一大趨勢。
百度移動安全專家周榮譽指出,「APP劫持」極易發生在root後的手機中。「由於手機root後,手機中的App可以被其他App訪問,從而加大App劫持的概率。一旦這種技術被運用到支付類App裡,就會導致用戶網銀帳號密碼丟失,造成不可估量的財產損失。因此,保護App在運行時不被其他應用注入和劫持成為了移動安全的重要挑戰。」
周榮譽在RSA現場展示了Facebook、招商銀行 APP遭遇劫持的情況。結果顯示,遭遇劫持的Facebook應用在用戶輸入帳號和密碼之後,信息迅速被截獲並且上傳到遠程伺服器。招商銀行網銀APP遭到的劫持更加危險,非法應用偽造網銀帳戶總覽界面,利用webview組件進行「網頁釣魚」,誘騙用戶輸入銀行卡取款密碼等帳戶信息,然後上傳到遠程伺服器。由於webview釣魚操作隱秘,難以被用戶發現,帶來的損失難以預估。
創建可信App運行環境——百度推SafeZygote創新方案
行業內的人都知道,「App劫持」一直是安全界關注的焦點,因此在RSA大會上百度推出的解決方案Safe Zygote讓現場的安全大佬們也眼前一亮。
據介紹,百度Safe Zygote創新方案旨在創建一個安全運行環境,用來保證你的App運行在一個乾淨、可信的安全環境裡,不被注入,不被劫持,保障隱私信息的安全。周榮譽表示:「應對APP劫持,我們必須保護App在運行時不被其他應用注入和劫持,包括在root環境下。我們從創建可信的原始Zygote進程、保護可信的Zygote、讓App從乾淨的Zygote進程調用三個方面,利用反調試、反注入、應用加固的技術來防止正版應用受到第三方程序的幹擾和注入,創造一個安全、可信的APP運行環境。」
Safe Zygote創新方案,吸引了國內外眾多安全廠商高層的關注,同時也受到國際安全專家的好評。美國EMC公司的首席安全分析師Sakthivel Rajendran就表示,百度提出的App安全運行環境的思路非常巧妙,很輕便地解決了App注入和hook等劫持問題,並且能有效地結合企業安全終端的應用場景。除此以外,本次大會的東道主新加坡知名APP加固公司也對百度這一技術深感興趣。
據了解,除了最新提出的Safe Zygote創新方案以外,在應用保護方面,百度移動安全產品百度手機衛士還針對支付類應用推出「4+1安全支付解決方案」,囊括了反惡意、反調試、反注入、反篡改,應用加固五大技術舉措,目前這一技術已經成功應用在了百度支付類產品百度錢包上,保護錢包的安全。而未來這一技術還將開放給第三方支付類企業以及銀行等機構,以保護用戶的「手機錢包」。在國內,百度手機衛士的保護範圍已經覆蓋招商銀行、支付寶、銀聯、中國銀行、財付通、中國建設銀行、恆豐銀行、廣發銀行等22家支付、網銀類應用。