年度盘点2017移动应用十大高危漏洞

2019-05-15 02:26:48 来源: 抚顺信息港

从1月的一大波Android银行木马袭击,到3.15晚会公民信息泄露事件披露;从5月的勒索病毒Wanncry变种在移动端侵袭,到11月的变成挖矿机;2017年移动互联安全事件一波未平一波又起,黑客攻击手段不断进化,引发了一系列新的安全威胁和挑战。

面对不断升级的安全威胁,更多移动运用开发企业意想到保护移动应用安全不能仅仅依赖移动安全厂商,移动运用自身漏洞安全问题同样需要重视。

为了让移动运用开发者及移动互联企业更加了解移动运用漏洞安全问题,通付盾移动安全实验室基于全渠道应用监测平台,对2017年移动运用漏洞数据进行汇总分析,公布以下数据结论供广大用户、开发者及企业参考:

2017年全移动应用总量560万+(版本重复不累计),同比2016年增长4.30%,其中85万+的高危漏洞运用,共包含高危漏洞总计840万+,平均每1个移动运用至少含有1.5个高危漏洞。

▲数据来源:通付盾移动安全实验室全渠道应用监测平台

此外,基于全渠道运用监测平台,对用户危害巨大的安全漏洞进行分析,给出2017年移动应用10大高危漏洞(按照严重程度给予排名):

2017移动应用10大高危漏洞

1. WebView远程代码履行漏洞

安全专家指出,所有Android API level 16以及之前的版本皆存在远程代码执行安全漏洞,曾有多款Android流行运用被曝出高危挂马漏洞:点击消息或朋友社区圈中的一条址时,用户就会自动执行被挂马的代码指令,从而导致被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取以及被远程控制等严重后果。大批TOP应用如、、快播、百度浏览器等均遭到不同程度影响。

2.界面劫持漏洞

安全专家表示,该类漏洞可致用户关键信息,例如账号、密码、银行卡等信息被窃取。用户可能在未发觉的情况下将自己的账号、密码信息输入到仿冒界面中,恶意程序再把这些数据返回到服务器中,完成钓鱼攻击。2017年11月,一个驻留在AndroidMediaProjection功能服务中的该类型漏洞被曝出,该漏洞允许恶意程序在用户不知情的情况下,捕获用户的屏幕内容及录制音频,超过78%的Android设备受此漏洞影响。

3.权限漏洞

安全专家提出,该类型漏洞导致攻击者歹意读取文件内容,获得敏感信息,破坏完整性;或者在Manifest文件中调用一些敏感的用户权限,致使用户隐私数据泄露,钓鱼扣费等。2017年10月30日至11月5日,国家互联应急中心通过自主监测和样本交换情势,共发现73个盗取用户个人信息的恶意程序变种,利用该类型漏洞感染用户29243个,对用户信息安全造成严重的安全威胁。

4.篡改和二次打包漏洞

该类型漏洞包括:对客户端程序添加或修改代码,修改客户端资源图片,配置信息、图标,添加广告,推广产品,再生成新的客户端程序,导致大量盗版应用的出现分食开发者的收入;此外,添加恶意代码的恶意二次打包还能实现应用钓鱼,导致登录账号密码、支付密码被窃取,短信验证码被拦截,转账目标账号、金额被修改等。Apk篡改后被二次打包不但严重危害开发者版权和经济利益,而且也使app用户遭受到不法应用的恶意侵害。

5. SharedPref读写安全漏洞

安全专家认为,具有SharedPref读写安全漏洞的移动应用程序,在SharedPreference文件夹中创建数据存储文件时,设置为全局可读或可写,导致任意第三方应用都可以进行文件读写操作,增加用户敏感信息泄漏风险。6月中旬,亚马逊和小红书站用户因此类漏洞而遭受信息泄露危机,大量个人信息外泄导致欺骗猛增,致使一位用户被骗金额高达43万,小红书50多位用户也因此造成80多万的损失。

6. WebView组件忽略SSL证书验证错误漏洞

安全专家表示,Android WebView组件加载页发生证书认证错误时,会调用ReceivedSslError方法,如果该方法调用了oceed()来忽略该证书错误,容易遭到中间人攻击,导致隐私泄露。监测平台显示,2017年高达17.59%的移动运用存在该类型漏洞,受影响用户不计其数。

7.固定端口监听风险漏洞

安全专家透露,目前15.24%的运用存在固定端口监听风险漏洞,漏洞产生缘由在于,这些运用在开启Socket服务后,不停接收数据,但是对数据的来源和内容的真实性缺少验证。

8.数据弱加密漏洞

经安全专家分析,开发者在运用开发时对敏感数据没有做足够的检查,直接与其中嵌入的第三方库交互,可能致使敏感数据泄露、窃取、监控。2017年针对公民个人敏感数据泄露的此起彼伏,11月份爆出趣店百万学生数据遭泄漏事件,包括学生借款金额、滞纳金等金融数据,以及学生父母、男女朋友、学信账号密码等隐私信息均被泄漏。

9. 动态注册广播暴露风险

Android可以在配置文件中声明一个receiver或者动态注册一个receiver来接收广播信息,攻击者假冒APP构造广播发送给被攻击的receiver,使被攻击的APP执行某些敏感行动或者返回敏感信息等,如果receiver接收到有害的数据或者命令时可能泄漏数据或者导致拒绝服务等,会造成用户的信息泄漏甚至是财产损失。

10.业务逻辑漏洞

安全专家认为,业务逻辑漏洞可能使得用户面对验证码或密码被暴力破解、受到重放攻击、受到大量垃圾短信,甚至敏感信息(如密码或信用卡数据)被公开等种种威胁。2017年3月,摩拜单车APP业务逻辑漏洞,充一元钱居然返现110。有友利用此漏洞进行多次充值,共充值车费1500元,实际仅支付15元钱。2017年OfO小黄单车客户端因忽略了该类型漏洞,导致在共享单车红包大战中日亏损千万的后果。

此外,移动运用的开发涉及许多第三方SDK,包括支付、统计、广告、社交、推送、地图等,除了以上10大高危安全漏洞问题,2017年移动运用第三方SDK安全漏洞对用户影响范围同样巨大。

SDK漏洞一旦被利用,攻击者就能利用SDK本身的功能发动恶意攻击,例如在用户毫无察觉的情况下打开相机拍照,通过发送短信盗取双因子认证令牌,或将装备变成僵尸络一部分。

随着各种系统漏洞的不断表露,加上Android系统碎片化严重,移动运用漏洞安全问题还将进一步加深、演化。移动应用十大高危漏洞的公布,希望引发用户及移动互联企业对移动运用漏洞的关注与重视。

通付盾移动安全实验室长期专注移动应用安全,迈进全新的2018年,愿与用户、厂商、开发者齐心协力,共同解决移动安全漏洞问题。

治疗经间期出血的中药
女生痛经吃什么能缓解
痛经快速止痛的小妙招
本文标签: