廣州熱線

??摘要：隨著各種系統(tǒng)漏洞的不斷披露，加上Android系統(tǒng)碎片化嚴(yán)重，移動(dòng)應(yīng)用漏洞安全問(wèn)題還將進(jìn)一步加深、演化。

? ?從1月的一大波Android銀行木馬襲擊，到3.15晚會(huì)公民信息泄露事件披露;從5月的“勒索病毒W(wǎng)anncry”變種在移動(dòng)端侵襲，到11月的手機(jī)變成挖礦機(jī);2017年移動(dòng)互聯(lián)網(wǎng)安全事件一波未平一波又起，黑客攻擊手段不斷進(jìn)化，引發(fā)了一系列新的安全威脅和挑戰(zhàn)。

??面對(duì)不斷升級(jí)的安全威脅，更多移動(dòng)應(yīng)用開(kāi)發(fā)企業(yè)意識(shí)到保護(hù)移動(dòng)應(yīng)用安全不能僅僅依賴(lài)移動(dòng)安全廠商，移動(dòng)應(yīng)用自身漏洞安全問(wèn)題同樣需要重視。

為了讓移動(dòng)應(yīng)用開(kāi)發(fā)者及移動(dòng)互聯(lián)網(wǎng)企業(yè)更加了解移動(dòng)應(yīng)用漏洞安全問(wèn)題，通付盾移動(dòng)安全實(shí)驗(yàn)室基于全渠道應(yīng)用監(jiān)測(cè)平臺(tái)，對(duì)2017年移動(dòng)應(yīng)用漏洞數(shù)據(jù)進(jìn)行匯總分析，公布以下數(shù)據(jù)結(jié)論供廣大用戶、開(kāi)發(fā)者及企業(yè)參考：

2017年全網(wǎng)移動(dòng)應(yīng)用總量560萬(wàn)+(版本重復(fù)不累計(jì))，同比2016年增長(zhǎng)4.30%，其中85萬(wàn)+的高危漏洞應(yīng)用，共包含高危漏洞總計(jì)840萬(wàn)+，平均每1個(gè)移動(dòng)應(yīng)用至少含有1.5個(gè)高危漏洞。

▲數(shù)據(jù)來(lái)源：通付盾移動(dòng)安全實(shí)驗(yàn)室全渠道應(yīng)用監(jiān)測(cè)平臺(tái)

通付盾移動(dòng)安全實(shí)驗(yàn)室安全同時(shí)基于全渠道應(yīng)用監(jiān)測(cè)平臺(tái)，對(duì)用戶危害巨大的安全漏洞進(jìn)行分析，給出2017年移動(dòng)應(yīng)用十大高危漏洞(按照嚴(yán)重程度給予排名)：

2017移動(dòng)應(yīng)用十大高危漏洞

1. WebView遠(yuǎn)程代碼執(zhí)行漏洞

通付盾移動(dòng)安全實(shí)驗(yàn)室安全專(zhuān)家指出，所有Android API level 16以及之前的版本皆存在遠(yuǎn)程代碼執(zhí)行安全漏洞，曾有多款A(yù)ndroid流行應(yīng)用被曝出高危掛馬漏洞：點(diǎn)擊消息或朋友社區(qū)圈中的一條網(wǎng)址時(shí)，用戶手機(jī)就會(huì)自動(dòng)執(zhí)行被掛馬的代碼指令，從而導(dǎo)致被安裝惡意扣費(fèi)軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠(yuǎn)程控制等嚴(yán)重后果。大批TOP應(yīng)用如微信、QQ、快播、百度瀏覽器等均受到不同程度影響。

2. 界面劫持漏洞

安全專(zhuān)家表示，該類(lèi)漏洞可致用戶關(guān)鍵信息，例如賬號(hào)、密碼、銀行卡等信息被竊取。用戶可能在未察覺(jué)的情況下將自己的賬號(hào)、密碼信息輸入到仿冒界面中，惡意程序再把這些數(shù)據(jù)返回到服務(wù)器中，完成釣魚(yú)攻擊。2017年11月，一個(gè)駐留在Android MediaProjection功能服務(wù)中的該類(lèi)型漏洞被曝出，該漏洞允許惡意程序在用戶不知情的情況下，捕獲用戶的屏幕內(nèi)容及錄制音頻，超過(guò)78%的Android設(shè)備受此漏洞影響。

3. 權(quán)限漏洞

安全專(zhuān)家提出，該類(lèi)型漏洞致使攻擊者惡意讀取文件內(nèi)容，獲取敏感信息，破壞完整性;或者在Manifest文件中調(diào)用一些敏感的用戶權(quán)限，導(dǎo)致用戶隱私數(shù)據(jù)泄露，釣魚(yú)扣費(fèi)等。2017年10月30日至11月5日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心通過(guò)自主監(jiān)測(cè)和樣本交換形式，共發(fā)現(xiàn)73個(gè)竊取用戶個(gè)人信息的惡意程序變種，利用該類(lèi)型漏洞感染用戶29243個(gè)，對(duì)用戶信息安全造成嚴(yán)重的安全威脅。

4. 篡改和二次打包漏洞

該類(lèi)型漏洞包括：對(duì)客戶端程序添加或修改代碼，修改客戶端資源圖片，配置信息、圖標(biāo)，添加廣告，推廣產(chǎn)品，再生成新的客戶端程序，導(dǎo)致大量盜版應(yīng)用的出現(xiàn)分食開(kāi)發(fā)者的收入;此外，添加惡意代碼的惡意二次打包還能實(shí)現(xiàn)應(yīng)用釣魚(yú)，導(dǎo)致登錄賬號(hào)密碼、支付密碼被竊取，短信驗(yàn)證碼被攔截，轉(zhuǎn)賬目標(biāo)賬號(hào)、金額被修改等。Apk篡改后被二次打包不僅嚴(yán)重危害開(kāi)發(fā)者版權(quán)和經(jīng)濟(jì)利益，而且也使app用戶遭受到不法應(yīng)用的惡意侵害。

5. SharedPref讀寫(xiě)安全漏洞

安全專(zhuān)家認(rèn)為，具有SharedPref讀寫(xiě)安全漏洞的移動(dòng)應(yīng)用程序，在SharedPreference文件夾中創(chuàng)建數(shù)據(jù)存儲(chǔ)文件時(shí)，設(shè)置為全局可讀或可寫(xiě)，導(dǎo)致任意第三方應(yīng)用都可以進(jìn)行文件讀寫(xiě)操作，增加用戶敏感信息泄漏風(fēng)險(xiǎn)。6月中旬，亞馬遜和小紅書(shū)網(wǎng)站用戶因此類(lèi)漏洞而遭遇信息泄露危機(jī)，大量個(gè)人信息外泄導(dǎo)致電話詐騙猛增，致使一位用戶被騙金額高達(dá)43萬(wàn)，小紅書(shū)50多位用戶也因此造成80多萬(wàn)的損失。

6. WebView組件忽略SSL證書(shū)驗(yàn)證錯(cuò)誤漏洞

通付盾移動(dòng)安全實(shí)驗(yàn)室安全專(zhuān)家表示，Android WebView組件加載網(wǎng)頁(yè)發(fā)生證書(shū)認(rèn)證錯(cuò)誤時(shí)，會(huì)調(diào)用WebViewClient.onReceivedSslError方法，如果該方法調(diào)用了handler.proceed()來(lái)忽略該證書(shū)錯(cuò)誤，容易受到中間人攻擊，導(dǎo)致隱私泄露。通付盾全渠道應(yīng)用監(jiān)測(cè)平臺(tái)顯示，2017年高達(dá)17.59%的移動(dòng)應(yīng)用存在該類(lèi)型漏洞，受影響用戶不計(jì)其數(shù)。

7. 固定端口監(jiān)聽(tīng)風(fēng)險(xiǎn)漏洞

通付盾移動(dòng)安全實(shí)驗(yàn)室安全專(zhuān)家透露，目前15.24%的手機(jī)應(yīng)用存在固定端口監(jiān)聽(tīng)風(fēng)險(xiǎn)漏洞，漏洞產(chǎn)生原因在于，這些應(yīng)用在開(kāi)啟Socket服務(wù)后，不停接收數(shù)據(jù)，但是對(duì)數(shù)據(jù)的來(lái)源和內(nèi)容的真實(shí)性缺乏驗(yàn)證。

8. 數(shù)據(jù)弱加密漏洞

經(jīng)通付盾移動(dòng)安全實(shí)驗(yàn)室安全專(zhuān)家分析，開(kāi)發(fā)者在應(yīng)用開(kāi)發(fā)時(shí)對(duì)敏感數(shù)據(jù)沒(méi)有做足夠的檢查，直接與其中嵌入的第三方庫(kù)交互，可能導(dǎo)致敏感數(shù)據(jù)泄露、竊取、監(jiān)控。2017年針對(duì)公民個(gè)人敏感數(shù)據(jù)泄露的新聞此起彼伏，11月份爆出趣店百萬(wàn)學(xué)生數(shù)據(jù)遭泄露事件，包括學(xué)生借款金額、滯納金等金融數(shù)據(jù)，以及學(xué)生父母電話、男女朋友電話、學(xué)信網(wǎng)賬號(hào)密碼等隱私信息均被泄露。

9. 動(dòng)態(tài)注冊(cè)廣播暴露風(fēng)險(xiǎn)

Android可以在配置文件中聲明一個(gè)receiver或者動(dòng)態(tài)注冊(cè)一個(gè)receiver來(lái)接收廣播信息，攻擊者假冒APP構(gòu)造廣播發(fā)送給被攻擊的receiver，使被攻擊的APP執(zhí)行某些敏感行為或者返回敏感信息等，如果receiver接收到有害的數(shù)據(jù)或者命令時(shí)可能泄露數(shù)據(jù)或者導(dǎo)致拒絕服務(wù)等，會(huì)造成用戶的信息泄漏甚至是財(cái)產(chǎn)損失。

10. 業(yè)務(wù)邏輯漏洞

通付盾移動(dòng)安全實(shí)驗(yàn)室安全專(zhuān)家認(rèn)為，業(yè)務(wù)邏輯漏洞可能使得用戶面對(duì)驗(yàn)證碼或密碼被暴力破解、受到重放攻擊、受到大量垃圾短信，甚至敏感信息(如密碼或信用卡數(shù)據(jù))被公開(kāi)等種種威脅。2017年3月，摩拜單車(chē)APP業(yè)務(wù)邏輯漏洞，充一元錢(qián)竟然返現(xiàn)110。有網(wǎng)友利用此漏洞進(jìn)行多次充值，共充值車(chē)費(fèi)1500元，實(shí)際僅支付15元錢(qián)。2017年OfO小黃單車(chē)客戶端因忽略了該類(lèi)型漏洞，導(dǎo)致在共享單車(chē)“紅包大戰(zhàn)”中日虧損千萬(wàn)的后果。

此外，移動(dòng)應(yīng)用的開(kāi)發(fā)涉及許多第三方SDK，包括支付、統(tǒng)計(jì)、廣告、社交、推送、地圖等，除了以上十大高危安全漏洞問(wèn)題，2017年移動(dòng)應(yīng)用第三方SDK安全漏洞對(duì)用戶影響范圍同樣巨大。

SDK漏洞一旦被利用，攻擊者就能利用SDK本身的功能發(fā)動(dòng)惡意攻擊，例如在用戶毫無(wú)察覺(jué)的情況下打開(kāi)相機(jī)拍照，通過(guò)發(fā)送短信盜取雙因子認(rèn)證令牌，或?qū)⒃O(shè)備變成僵尸網(wǎng)絡(luò)一部分。

隨著各種系統(tǒng)漏洞的不斷披露，加上Android系統(tǒng)碎片化嚴(yán)重，移動(dòng)應(yīng)用漏洞安全問(wèn)題還將進(jìn)一步加深、演化。移動(dòng)應(yīng)用十大高危漏洞的公布，希望引起用戶及移動(dòng)互聯(lián)網(wǎng)企業(yè)對(duì)移動(dòng)應(yīng)用漏洞的關(guān)注與重視。

通付盾移動(dòng)安全實(shí)驗(yàn)室長(zhǎng)期專(zhuān)注移動(dòng)應(yīng)用安全，邁進(jìn)全新的2018年，愿與用戶、廠商、開(kāi)發(fā)者齊心協(xié)力，共同解決移動(dòng)安全漏洞問(wèn)題。