站長資訊網(wǎng)從1月的一大波Android銀行木馬襲擊,到3.15晚會公民信息泄露事件披露;從5月的“勒索病毒W(wǎng)anncry”變種在移動端侵襲,到11月的手機變成挖礦機;2017年移動互聯(lián)網(wǎng)安全事件一波未平一波又起,黑客攻擊手段不斷進化,引發(fā)了一系列新的安全威脅和挑戰(zhàn)。
面對不斷升級的安全威脅,更多移動應用開發(fā)企業(yè)意識到保護移動應用安全不能僅僅依賴移動安全廠商,移動應用自身漏洞安全問題同樣需要重視。
為了讓移動應用開發(fā)者及移動互聯(lián)網(wǎng)企業(yè)更加了解移動應用漏洞安全問題,通付盾移動安全實驗室基于全渠道應用監(jiān)測平臺,對2017年移動應用漏洞數(shù)據(jù)進行匯總分析,公布以下數(shù)據(jù)結(jié)論供廣大用戶、開發(fā)者及企業(yè)參考:
2017年全網(wǎng)移動應用總量560萬+(版本重復不累計),同比2016年增長4.30%,其中85萬+的高危漏洞應用,共包含高危漏洞總計840萬+,平均每1個移動應用至少含有1.5個高危漏洞。
▲數(shù)據(jù)來源:通付盾移動安全實驗室全渠道應用監(jiān)測平臺
通付盾移動安全實驗室安全同時基于全渠道應用監(jiān)測平臺,對用戶危害巨大的安全漏洞進行分析,給出2017年移動應用十大高危漏洞(按照嚴重程度給予排名):
2017移動應用十大高危漏洞
1. WebView遠程代碼執(zhí)行漏洞
通付盾移動安全實驗室安全專家指出,所有Android API level 16以及之前的版本皆存在遠程代碼執(zhí)行安全漏洞,曾有多款Android流行應用被曝出高危掛馬漏洞:點擊消息或朋友社區(qū)圈中的一條網(wǎng)址時,用戶手機就會自動執(zhí)行被掛馬的代碼指令,從而導致被安裝惡意扣費軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠程控制等嚴重后果。大批TOP應用如微信、QQ、快播、百度瀏覽器等均受到不同程度影響。
2. 界面劫持漏洞
安全專家表示,該類漏洞可致用戶關(guān)鍵信息,例如賬號、密碼、銀行卡等信息被竊取。用戶可能在未察覺的情況下將自己的賬號、密碼信息輸入到仿冒界面中,惡意程序再把這些數(shù)據(jù)返回到服務器中,完成釣魚攻擊。2017年11月,一個駐留在Android MediaProjection功能服務中的該類型漏洞被曝出,該漏洞允許惡意程序在用戶不知情的情況下,捕獲用戶的屏幕內(nèi)容及錄制音頻,超過78%的Android設(shè)備受此漏洞影響。
3. 權(quán)限漏洞
安全專家提出,該類型漏洞致使攻擊者惡意讀取文件內(nèi)容,獲取敏感信息,破壞完整性;或者在Manifest文件中調(diào)用一些敏感的用戶權(quán)限,導致用戶隱私數(shù)據(jù)泄露,釣魚扣費等。2017年10月30日至11月5日,國家互聯(lián)網(wǎng)應急中心通過自主監(jiān)測和樣本交換形式,共發(fā)現(xiàn)73個竊取用戶個人信息的惡意程序變種,利用該類型漏洞感染用戶29243個,對用戶信息安全造成嚴重的安全威脅。
4. 篡改和二次打包漏洞
該類型漏洞包括:對客戶端程序添加或修改代碼,修改客戶端資源圖片,配置信息、圖標,添加廣告,推廣產(chǎn)品,再生成新的客戶端程序,導致大量盜版應用的出現(xiàn)分食開發(fā)者的收入;此外,添加惡意代碼的惡意二次打包還能實現(xiàn)應用釣魚,導致登錄賬號密碼、支付密碼被竊取,短信驗證碼被攔截,轉(zhuǎn)賬目標賬號、金額被修改等。Apk篡改后被二次打包不僅嚴重危害開發(fā)者版權(quán)和經(jīng)濟利益,而且也使app用戶遭受到不法應用的惡意侵害。
5. SharedPref讀寫安全漏洞
安全專家認為,具有SharedPref讀寫安全漏洞的移動應用程序,在SharedPreference文件夾中創(chuàng)建數(shù)據(jù)存儲文件時,設(shè)置為全局可讀或可寫,導致任意第三方應用都可以進行文件讀寫操作,增加用戶敏感信息泄漏風險。6月中旬,亞馬遜和小紅書網(wǎng)站用戶因此類漏洞而遭遇信息泄露危機,大量個人信息外泄導致電話詐騙猛增,致使一位用戶被騙金額高達43萬,小紅書50多位用戶也因此造成80多萬的損失。
6. WebView組件忽略SSL證書驗證錯誤漏洞
通付盾移動安全實驗室安全專家表示,Android WebView組件加載網(wǎng)頁發(fā)生證書認證錯誤時,會調(diào)用WebViewClient.onReceivedSslError方法,如果該方法調(diào)用了handler.proceed()來忽略該證書錯誤,容易受到中間人攻擊,導致隱私泄露。通付盾全渠道應用監(jiān)測平臺顯示,2017年高達17.59%的移動應用存在該類型漏洞,受影響用戶不計其數(shù)。
7. 固定端口監(jiān)聽風險漏洞
通付盾移動安全實驗室安全專家透露,目前15.24%的手機應用存在固定端口監(jiān)聽風險漏洞,漏洞產(chǎn)生原因在于,這些應用在開啟Socket服務后,不停接收數(shù)據(jù),但是對數(shù)據(jù)的來源和內(nèi)容的真實性缺乏驗證。
8. 數(shù)據(jù)弱加密漏洞
經(jīng)通付盾移動安全實驗室安全專家分析,開發(fā)者在應用開發(fā)時對敏感數(shù)據(jù)沒有做足夠的檢查,直接與其中嵌入的第三方庫交互,可能導致敏感數(shù)據(jù)泄露、竊取、監(jiān)控。2017年針對公民個人敏感數(shù)據(jù)泄露的新聞此起彼伏,11月份爆出趣店百萬學生數(shù)據(jù)遭泄露事件,包括學生借款金額、滯納金等金融數(shù)據(jù),以及學生父母電話、男女朋友電話、學信網(wǎng)賬號密碼等隱私信息均被泄露。
9. 動態(tài)注冊廣播暴露風險
Android可以在配置文件中聲明一個receiver或者動態(tài)注冊一個receiver來接收廣播信息,攻擊者假冒APP構(gòu)造廣播發(fā)送給被攻擊的receiver,使被攻擊的APP執(zhí)行某些敏感行為或者返回敏感信息等,如果receiver接收到有害的數(shù)據(jù)或者命令時可能泄露數(shù)據(jù)或者導致拒絕服務等,會造成用戶的信息泄漏甚至是財產(chǎn)損失。
10. 業(yè)務邏輯漏洞
通付盾移動安全實驗室安全專家認為,業(yè)務邏輯漏洞可能使得用戶面對驗證碼或密碼被暴力破解、受到重放攻擊、受到大量垃圾短信,甚至敏感信息(如密碼或信用卡數(shù)據(jù))被公開等種種威脅。2017年3月,摩拜單車APP業(yè)務邏輯漏洞,充一元錢竟然返現(xiàn)110。有網(wǎng)友利用此漏洞進行多次充值,共充值車費1500元,實際僅支付15元錢。2017年OfO小黃單車客戶端因忽略了該類型漏洞,導致在共享單車“紅包大戰(zhàn)”中日虧損千萬的后果。
此外,移動應用的開發(fā)涉及許多第三方SDK,包括支付、統(tǒng)計、廣告、社交、推送、地圖等,除了以上十大高危安全漏洞問題,2017年移動應用第三方SDK安全漏洞對用戶影響范圍同樣巨大。
SDK漏洞一旦被利用,攻擊者就能利用SDK本身的功能發(fā)動惡意攻擊,例如在用戶毫無察覺的情況下打開相機拍照,通過發(fā)送短信盜取雙因子認證令牌,或?qū)⒃O(shè)備變成僵尸網(wǎng)絡(luò)一部分。
隨著各種系統(tǒng)漏洞的不斷披露,加上Android系統(tǒng)碎片化嚴重,移動應用漏洞安全問題還將進一步加深、演化。移動應用十大高危漏洞的公布,希望引起用戶及移動互聯(lián)網(wǎng)企業(yè)對移動應用漏洞的關(guān)注與重視。
通付盾移動安全實驗室長期專注移動應用安全,邁進全新的2018年,愿與用戶、廠商、開發(fā)者齊心協(xié)力,共同解決移動安全漏洞問題。
