封堵Janus漏洞!Testin安全产品今冬上线

一个名为“Janus”(编号:CVE-2017-13156)的Android系统高危漏洞于今年12月4日通过Google官网披露于世,该漏洞或致使上千万安卓应用存在安全风险,影响用户数以亿计,而Testin于今冬推出的安全测试新产品,可有效化解应用的安全危机。

“Janus”是什么?

据悉,Janus漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下,向正常的Android APK或DEX文件中植入恶意代码并进行篡改,这相当于绕过了安卓系统的整个安全机制。

——影响的范围

1. 安卓5.0-8.0的各个版本系统;

2. 使用安卓Signaturescheme V1签名的App APK文件。

——利用过程

1、攻击者可以向APK文件的开始位置放置一个攻击的DEX文件A;

2. 安卓系统在安装时用ZIP的读取机制从末尾开始进行文件的读取,读取到了原始的APK内容,并且以V1的方式进行校验,认为这个文件是正常的,没有篡改,APK安装成功;

3. 在运行时,Android的ART虚拟机从文件头开始读取,发现是一个DEX文件,直接执行,攻击文件A被最终执行。

“Janus”有什么危害?

一旦攻击者将植入恶意代码的仿冒的App投放到安卓商店等第三方应用市场,就可替代原有的App做下载、更新。网友安装这些仿冒App后,不仅会泄露个人账号、密码、照片、文件等隐私信息,手机更可能被植入木马病毒,进而或导致手机被ROOT,甚至被远程操控。

漏洞频发,移动应用安全形势严峻

除了此次Janus漏洞之外,近日,苹果iOS 系统也漏洞频发,甚至被苹果高管称为“糟糕的一周”。而谷歌引以为傲的深度学习TensorFlow也遭遇安全质疑,这一系列事件使得应用安全问题被推上风口浪尖。这一系列现象说明,系统漏洞检测领域出现了一些新变化、新态势。这既是传统安全厂商和实验室的一次挑战,也为新兴安全企业带来了机遇。

根据调研显示,在18个行业的 Top 10 应用中, 98% 都存在漏洞,平均每个应用有82个漏洞。其中,高危漏洞占比最高的依次是办公类、工具类、游戏类和金融类。这些应用安全漏洞给黑客攻击和恶意程序提供了可乘之机,给用户的隐私与财产安全、企业利益带来了巨大威胁。应对漏洞的有效方式,就是进行应用安全扫描,为APP进行全方位健康体检,防范于未然。

应用安全扫描的关键,在于自动化测试技术的成熟度,以及安全检测点的覆盖度。而来自IDC的数据表明,市场上常见的MAST(移动应用安全测试)工具,只能发现 67%的漏洞。这意味着360、腾讯等传统巨头的“安全方法论”也无法实现高概率排险。在扫描手段越来越同质化的当下,谁自动化测试技术越强、检测点越多,谁就有机会独占鳌头。

全面封堵“Janus”,Testn安全为应用保驾护航

在当前复杂的移动应用安全环境下,有一家“安全测试新贵”强势崛起——那就是Testin安全。针对行业内目前亟待解决的问题,Testin安全基于独创安全核心技术,于今冬推出应用安全扫描增强版产品,可有效检测及应对Janus等危机状况。

Testin安全团队针对传统测试团队安全检测点数量过少的问题,为应用安全扫描提供40个检测点,大大拓展了检测范围;在覆盖面上,涵盖了配置安全、代码安全、组件安全、数据安全、加密安全、通信安全等多个维度。新产品特别针对Android应用,提供静态检测、动态检测和恶意分析,准确发现并评估应用的安全漏洞与风险,使包括Janus在内的应用安全漏洞“无处遁形”。

除此之外,Testin安全测试还提供代码审计与渗透测试服务。其中,代码审计(Code Audit ) 是由专业的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查,以充分挖掘安全缺陷,并指导开发人员正确修复缺陷。而渗透测试堪称应用安全扫描的进阶版本,此服务将模拟黑客行为深度挖掘APP中的安全隐患,帮助企业发现强逻辑性、深层次的漏洞。Testin安全将白盒测试和黑盒测试手段相结合,立体高效的保障了应用安全。

Testin首席安全顾问何迪生先生曾任微软大中华区信息安全总监、TPCU(中国香港警署防犯罪技术部)防止犯罪技术安全咨询顾问,具备扎实的安全技术和一手的应对经验。他表示,若要实现安全测试行业的“破局”,进行对包括Janus在内的应用安全漏洞的全面“围剿”,必须建立起专业,立体,完善的测试网络,对移动应用进行全方位保驾护航。而Testin安全依托1.8亿次的专业测试经验,为漏洞扫描的全面性与权威性打好了坚实的基础。

在移动互联网时代,数据已经成为企业发展的核心命脉。许多应用并没有经过专业的安全测试就直接推向终端用户,它们携带着各类安全漏洞直接暴露在公众面前,而其中一部分直指软件所承载的核心敏感信息或业务逻辑,一旦被恶意利用,后果将不堪设想。Testin安全团队作为一支走在行业前沿的领军队伍,致力于为企业提供最专业的最优质的安全服务。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171222C0T1KX00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券