ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1389

术语表: /attack/glossary

识别第三方软件库中的漏洞

许多应用程序使用第三方软件库,通常没有完全了解应用程序开发人员使用这些库的行为。例如,移动应用程序经常包含广告库,以便为应用程序开发人员产生收入。这些第三方库中的漏洞可能会在使用该库的任何应用程序中被利用,即使漏洞已修复,许多应用程序仍可能使用较旧的易受攻击的库版本。

检测

可通过常见防御检测(是/否/部分):部分

解释: 开源软件之所以具有巨大的吸引力,主要是因为它节省了时间,而且是免费的。然而,在不评估其安全性的情况下使用这段代码类似于盲目地执行第三方软件。公司通常不会花时间适当地检测和扫描漏洞。主流的移动应用程序存储扫描应用程序的一些已知漏洞。例如,Google 的 Android 应用程序安全性改进程序可以识别并提醒开发人员应用程序中存在的漏洞,这些漏洞来自 Vungle、Apache Cordova、WebView SSL、GnuTLS 和 Vitamio 第三方库。然而,这些扫描不太可能覆盖所有易受攻击的库,开发人员可能并不总是对结果采取行动,并且这些结果可能不会提供给受影响的应用程序终端用户。

对于攻击者的难度

对于攻击者是容易的 (是/否): 是

解释: 开发人员通常使用开源库,这样攻击者就可以很容易地发现已知的漏洞并创建 exploit。通常还很容易对任意移动应用程序进行反编译,以确定它们使用的库,并类似地使用这些信息与已知的 cve 和 exploit 包关联。