在移動端病毒總量下降的安全環境下，不法分子調整攻擊目標，直接針對Android軟件供應鏈環節發起的攻擊，正在給普通用戶、開發者、手機廠商等主體帶來全新的安全難題。

　　騰訊安全反詐騙實驗室在7月25日發布的《網絡安全新常態下Android應用供應鏈安全探秘》(下簡稱報告)中指出，供應鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動安全廠商帶來了更大的挑戰。同時，傳統的防御手段在面對這種更具有針對性、隱蔽性的攻擊時，顯得捉襟見肘，極需一種新時代的安全體系來保護組織和用戶的安全。

　　供應鏈攻擊成不法分子“新寵”：范圍廣、危害大、成本低

　　自2014年移動端惡意軟件爆發時增長以來，Google、手機廠商和移動安全廠商都投入了巨大的精力，與惡意開發者進行了激烈的對抗。過去幾年，經過各方的共同努力，普通Android惡意軟件的迅猛增長趨勢已經得到遏制。更高端的攻擊逐漸成為不法分子的“轉型”方向，在此其中，針對Android軟件供應鏈的薄弱環節發起攻擊備受青睞。

　　根據報告披露的安全事件顯示，近年來供應鏈的開發、分發、使用等上中下游環節均出現重大安全事件，影響用戶量級從十萬到百萬甚至上千萬不等。以2017年6月安全研究人員提交的俄羅斯最大社交網站VK.com的FFmpeg的遠程任意文件讀取漏洞為例，由于主流的視頻應用幾乎都采用了FFmpeg這一開源框架，意味著一旦該漏洞被不法黑客利用，影響無法估量。

　　(Android軟件供應鏈各環節均爆重大安全事件)

　　報告還指出，針對供應鏈下游(分發環節)攻擊的安全事件占據了供應鏈攻擊的大頭，受影響用戶數多在百萬級別，且層出不窮。類似于Xcode Ghost這類污染開發工具針對軟件供應鏈上游(開發環境)進行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶。

　　除此之外，針對供應鏈各環節被揭露出來的攻擊在近幾年都呈上升趨勢，在趨于更加復雜化的互聯網環境下，軟件供應鏈所暴露給攻擊者的攻擊面越來越多，并且越來越多的攻擊者也發現針對供應鏈的攻擊相對針對應用本身或系統的漏洞攻擊可能更加容易，成本更低。

　　下一代防御手段迫在眉睫 騰訊TRP-AI防病毒引擎或提供解決之道

　　如何防御日益增多的供應鏈攻擊成為包括手機廠商、應用開發者、應用市場、安全廠商、普通用戶等各主體都迫切解決的問題。

　　尤其對于安全廠商而言，它們面對的是對抗能力更強的新對手。報告指出，無論是基于特征碼查殺、啟發式殺毒這類以靜態特征對抗靜態代碼的第一代安全技術，還是以云查殺和機器學習對抗樣本變種、使用白名單和“非白即黑”的限制策略等主動防御手段為主的第二代安全技術，在面對更具有針對性、隱蔽性的攻擊時，都顯得捉襟見肘。

　　報告認為，應用開發、交付、使用等環節都存在巨大的安全威脅，其導致的危害并不低于安全漏洞所導致的情況，因此僅關注軟件及操作系統本身的安全威脅遠遠不夠。安全廠商需要從完整的軟件供應鏈角度形成全景的安全視野，才能解決更多縱深的安全風險。建議安全廠商加強提升發現安全問題的能力及提供創新型的產品和服務。

　　為應對未來嚴峻的安全挑戰，騰訊安全立足終端安全，推出自研AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過對系統層的敏感行為進行監控，配合能力成熟的AI技術能有效識別惡意應用的風險行為，為用戶提供更高智能的實時終端安全防護。同時針對惡意軟件開發者和黑產從業人員，騰訊安全反詐騙實驗室基于海量數據建立了神羊情報系統，可以溯源追蹤惡意攻擊的攻擊鏈條、使用的技術手段、背后的開發團隊/者，從而提供詳細的威脅情報，予以精確打擊，保護廠商和廣大用戶免受惡意軟件侵害。

關注ITBear科技資訊公眾號（itbear365 ），每天推送你感興趣的科技內容。