IBM新研究表明，CERT新的开源安全工具“Tapioca”显示Android应用漏洞无处不在。

根据IBM新研究表明，新开发的开源安全工具发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中，IBM X-Force称，2013年漏洞披露为8400个，而去年增加到30000个，这是X-Force在18年的历史中数据最高的一年。

IBM X-Force研究人员Jason Kravitz表示，从往年的数据来看，2014年漏洞披露数量应该会出现适量下降，初步预计保持在7000到8000的范围。

“你回望过去四五年会发现，漏洞总数量一直保持平稳，”Kravitz说道，“所以我们对2014年的预测是应该会比2013年少一点。”

但事实并非如此，卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)漏洞分析师Will Dormann开发出一种新方法来发现Android移动应用漏洞。

此前Dormann在研究中间人攻击(MitM)，并想以这种方式测试应用：即通过代理服务器路由应用流量，而不会提醒应用。因此，他需要设计一个代理服务器可以在应用层外部来测试。

Dormann的解决方案是CERT透明代理捕捉设备(Transparent Proxy Capture Appliance，Tapioca)。该工具在去年8月推出，可作为MitM软件分析的透明网络层代理。

“对于某些客户端应用，你可以指明你想使用代理，”Dormann解释说，“现在市面上已经推出了一些MitM代理工具，例如ZAP、Burp和Fiddler，但如果你想测试不支持指定代理的应用，或者出于某些原因没有使用OS配置代理的应用，则可以选择Tapioca，它可以在网络水平运行。”

Dormann解释说，你需要做的是配置虚拟机，或者无线接入点用于物理测试，并使用Tapioca作为互联网网关。对于这样配置的任何系统，Tapioca会看到所有通过网络的Web请求。

很快，Dormann发现Tapioca可以用来检查没有正确验证SSL证书的应用。并且，通过使用Android模拟器、Linux虚拟机(VM)和其他一些技巧，Dormann还可以自动化这个过程。他在多个虚拟机运行Tapioca工具长达数月，从2014年8月开始，2015年1月结束，测试的应用数量超过100万。

根据X-Force威胁情报季报显示，Tapioca是发现数千易受攻击Android应用的关键;它搜寻整个Google Play Store，发现2014年Android应用漏洞激增。根据Tapioca项目发布的公共电子数据表显示，23667个应用没有通过动态测试，主要是因为这些应用包含因不正确SSL证书验证导致的漏洞。

“我们通过Tapioca工具发现的是，其实有20000多个应用存在漏洞，而造成这个问题的是它们部署SSL的方式，”Kravitz称，“这并不是它们包含的某个库存在漏洞，这20000个应用本身包含漏洞。”

Kravitz称，Tapioca工具是游戏规则颠覆者;X-Force本身登记了9200个漏洞，而这个开源安全工具发现的漏洞数量是这个数据的三倍。

“在过去，我们并不会发现那么多应用存在漏洞，”他表示，“如果Word Press插件有漏洞，这可能会影响10万网站，但我们不会在数据库中记录10万个漏洞，因为这其实是一个漏洞。”

对于每个未通过测试的应用，CERT都联系了相应的应用开发人员(如果Play Store中提供了联系方式)。但每1000名开发人员中只有1名开发人员报告回CERT，并确认修复了该漏洞。Kravitz称，目前还不清楚这些漏洞已经存在多长时间。

“假设这些应用在去年10月之前推出，那么它们可能有这个漏洞，”Kravitz称，“在CERT开始使用Tapioca工具测试这些应用之前，没有人发现这些漏洞。”

随后，Dormann以众包方式使用Tapioca工具来测试。新的Android应用正层出不穷，而旧应用的新版本也不断推出。CERT还没有测试iOS和其他移动平台，主要是由于这些平台缺乏类似Android De-bug Bridge(ADP)的工具，让用户可以与模拟器实例进行交互。没有这种命令行工具，Tapioca无法自动化，让测试没那么可行。

“对于iPhone SDK，他们有iPhone模拟器，但这只是模拟应用的外观和感觉，”Dormann称，“为了使用Tapioca测试应用，你需要与在网络层面运作方式相同的东西。”

Dormann也尝试对iPhone进行检测，将其关联到一个接入点，但他表示如果需要物理电话的话，大规模测试iOS应用不太可能。现在还不知道对于iOS，Tapioca可以实现何种程度的自动化。

X-Force报告称，Tapioca不仅改变了2014年漏洞披露数量，还改变了大家对应该如何记录漏洞披露的讨论。虽然Tapioca工具被用于合法研究目的，Dormann承认，攻击者和网络犯罪分子可以利用这个开源工具来发现和利用漏洞，甚至在开发人员有机会修复它们之前。

“对于任何特别的安全工具，有人会将其用于好的目的，”Dormann称，“也有人可能将其用于损害他人利益的事情，工具的可用性只是帮助提高软件的质量。”

作者：Maxim Tamarov

来源：51CTO