APP漏洞的安全問題,主要集中在android系統開源方面,能被黑客攻擊的安全問題也主要集中在android系統上,ios系統安全性相對較強。安卓系統本身就存在漏洞,比如openSSL漏洞、Pileup漏洞、耗電等層出不窮的漏洞,再加上安卓系統的開源性,在帶給開發者靈活性的同時,也給某些黑客帶來可乘之機。
漏洞的環境
在近期發佈了《2015年第一季度移動安全報告》,在報告顯示,在安卓移動應用平臺,16個行業的top10應用共有4,775個漏洞,平均每個應用有30個漏洞。4,775個風險漏洞中,44%屬於高危漏洞、56%屬於中危漏洞,顯示熱門應用的安全漏洞不容樂觀。
金融、影音、生活行業的應用漏洞總量最多,由於用戶量大,漏洞潛在的影響也較大。
金融行業top10應用平均漏洞數目爲34個。其中21%是Webview明文存儲漏洞,可導致用戶賬號密碼泄露;18%是Webview遠程代碼執行漏洞,可導致用戶手機被遠程控制、隱私泄露等風險。
遊戲行業top10應用平均漏洞數目爲15個。其中28%是Webview明文存儲漏洞,可導致用戶賬號密碼泄露;24%是SharedPrefs配置錯誤漏洞,可導致用戶個人身份信息、密碼等敏感信息泄露。
網購行業top10應用平均漏洞數目爲34個。其中29%是Webview明文存儲漏洞,可導致用戶賬號密碼泄露;22%是拒絕服務漏洞,可導致特定惡意數據被寫入組件造成應用崩潰,從而拒絕服務,影響應用開發者和用戶體驗。
漏洞的危害
危害一:導致用戶隱私泄露。黑客利用App漏洞,植入惡意代碼或手機病毒,竊取用戶隱私的行爲極爲常見 。在與本身功能毫不相干的情況下,獲取智能手機用戶的短信記錄、通話記錄、通訊錄等敏感個人信息。這些抓取行爲並非相關移動App爲用戶提供的應用服務功能所必需,而是由於App感染病毒所致,並且大多數普通用戶對此並不知情。
危害二:導致用戶財產損失。支付類App越來越受到用戶的青睞,但這類App漏洞往往會給用戶帶來嚴重的財產損失。黑客通過破解支付類App,替換支付鏈接,誘導用戶向私人賬戶付費,或者直接竊取App賬號密碼,盜取資金,嚴重損害開發者及用戶利益。
危害三:導致山寨盜版橫行。國家互聯網應急中心曾對國內安卓平臺超過300家非官方應用商店進行惡意程序抽檢,結果顯示,幾乎所有的應用商店都包含有山寨惡意應用。
防範措施:愛內測的CTO表示:愛內測便是幫助開發者解決App安全問題,從源頭上杜絕移動安全漏洞。作爲一款App漏洞檢測工具,漏洞安全檢測平臺能快速方便的幫助移動應用開發者找出移動應用的源碼風險漏洞,後門注入風險,並提出修改建議,爲開發者解決了安全性檢測的難題。
