在移動(dòng)端病毒總量下降的安全環(huán)境下,，不法分子調(diào)整攻擊目標(biāo),，直接針對(duì)Android軟件供應(yīng)鏈環(huán)節(jié)發(fā)起的攻擊，正在給普通用戶,、開發(fā)者,、手機(jī)廠商等主體帶來(lái)全新的安全難題,。

騰訊安全反詐騙實(shí)驗(yàn)室在7月25日發(fā)布的《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》(下簡(jiǎn)稱報(bào)告)中指出，供應(yīng)鏈的攻擊事件增多,，攻擊的深度和廣度的延伸也給移動(dòng)安全廠商帶來(lái)了更大的挑戰(zhàn)。同時(shí)，傳統(tǒng)的防御手段在面對(duì)這種更具有針對(duì)性,、隱蔽性的攻擊時(shí),，顯得捉襟見肘，極需一種新時(shí)代的安全體系來(lái)保護(hù)組織和用戶的安全,。

供應(yīng)鏈攻擊成不法分子“新寵”：范圍廣,、危害大、成本低

自2014年移動(dòng)端惡意軟件爆發(fā)時(shí)增長(zhǎng)以來(lái),，ogle,、手機(jī)廠商和移動(dòng)安全廠商都投入了巨大的精力，與惡意開發(fā)者進(jìn)行了激烈的對(duì)抗,。過(guò)去幾年,，經(jīng)過(guò)各方的共同努力，普通Android惡意軟件的迅猛增長(zhǎng)趨勢(shì)已經(jīng)得到遏制,。更高端的攻擊逐漸成為不法分子的“轉(zhuǎn)型”方向,，在此其中，針對(duì)Android軟件供應(yīng)鏈的薄弱環(huán)節(jié)發(fā)起攻擊備受青睞,。

根據(jù)報(bào)告披露的安全事件顯示,，近年來(lái)供應(yīng)鏈的開發(fā)、分發(fā),、使用等上中下游環(huán)節(jié)均出現(xiàn)重大安全事件,，影響用戶量級(jí)從十萬(wàn)到百萬(wàn)甚至上千萬(wàn)不等。以2017年6月安全研究人員提交的俄羅斯最大社交網(wǎng)站VK.com的FFmpeg的遠(yuǎn)程任意文件讀取漏洞為例,，由于主流的視頻應(yīng)用幾乎都采用了FFmpeg這一開源框架,，意味著一旦該漏洞被不法黑客利用，影響無(wú)法估量,。

(Android軟件供應(yīng)鏈各環(huán)節(jié)均爆重大安全事件)

報(bào)告還指出,，針對(duì)供應(yīng)鏈下游(分發(fā)環(huán)節(jié))攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭，受影響用戶數(shù)多在百萬(wàn)級(jí)別,，且層出不窮,。類似于Xcode Ghost這類污染開發(fā)工具針對(duì)軟件供應(yīng)鏈上游(開發(fā)環(huán)境)進(jìn)行攻擊的安全事件較少，但攻擊一旦成功,，卻可能影響上億用戶,。

除此之外,，針對(duì)供應(yīng)鏈各環(huán)節(jié)被揭露出來(lái)的攻擊在近幾年都呈上升趨勢(shì)，在趨于更加復(fù)雜化的互聯(lián)網(wǎng)環(huán)境下,，軟件供應(yīng)鏈所暴露給攻擊者的攻擊面越來(lái)越多,，并且越來(lái)越多的攻擊者也發(fā)現(xiàn)針對(duì)供應(yīng)鏈的攻擊相對(duì)針對(duì)應(yīng)用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低,。

下一代防御手段迫在眉睫 騰訊TRPAI防病毒引擎或提供解決之道

如何防御日益增多的供應(yīng)鏈攻擊成為包括手機(jī)廠商,、應(yīng)用開發(fā)者、應(yīng)用市場(chǎng),、安全廠商,、普通用戶等各主體都迫切解決的問(wèn)題。

尤其對(duì)于安全廠商而言,，它們面對(duì)的是對(duì)抗能力更強(qiáng)的新對(duì)手,。報(bào)告指出，無(wú)論是基于特征碼查殺,、啟發(fā)式殺毒這類以靜態(tài)特征對(duì)抗靜態(tài)代碼的第一代安全技術(shù),，還是以云查殺和機(jī)器學(xué)習(xí)對(duì)抗樣本變種、使用白名單和“非白即黑”的限制策略等主動(dòng)防御手段為主的第二代安全技術(shù),，在面對(duì)更具有針對(duì)性,、隱蔽性的攻擊時(shí)，都顯得捉襟見肘,。

報(bào)告認(rèn)為,，應(yīng)用開發(fā)、交付,、使用等環(huán)節(jié)都存在巨大的安全威脅,，其導(dǎo)致的危害并不低于安全漏洞所導(dǎo)致的情況，因此僅關(guān)注軟件及操作系統(tǒng)本身的安全威脅遠(yuǎn)遠(yuǎn)不夠,。安全廠商需要從完整的軟件供應(yīng)鏈角度形成全景的安全視野,，才能解決更多縱深的安全風(fēng)險(xiǎn)。建議安全廠商加強(qiáng)提升發(fā)現(xiàn)安全問(wèn)題的能力及提供創(chuàng)新型的產(chǎn)品和服務(wù),。

為應(yīng)對(duì)未來(lái)嚴(yán)峻的安全挑戰(zhàn),，騰訊安全立足終端安全，推出自研AI反病毒引擎——騰訊TRPAI反病毒引擎,，通過(guò)對(duì)系統(tǒng)層的敏感行為進(jìn)行監(jiān)控,，配合能力成熟的AI技術(shù)能有效識(shí)別惡意應(yīng)用的風(fēng)險(xiǎn)行為，為用戶提供更高智能的實(shí)時(shí)終端安全防護(hù),。同時(shí)針對(duì)惡意軟件開發(fā)者和黑產(chǎn)從業(yè)人員,，騰訊安全反詐騙實(shí)驗(yàn)室基于海量數(shù)據(jù)建立了神羊情報(bào)系統(tǒng)，可以溯源追蹤惡意攻擊的攻擊鏈條、使用的技術(shù)手段,、背后的開發(fā)團(tuán)隊(duì)/者,，從而提供詳細(xì)的威脅情報(bào)，予以精確打擊,，保護(hù)廠商和廣大用戶免受惡意軟件侵害,。