随着移动互联网的快速发展以及各类手机应用的兴起,APP已成为国民日常生活中不可或缺的工具。当用户在享用APP带来便利的时候,个人信息可能正在面临各种未知风险。近期,爱加密联合四川省公安厅对四川省辖区内所有APP进行检测分析,进一步规范行业秩序,打击违规违法移动应用,保护用户的合法权益及信息安全。
通过检测发现,四川省共有APP 12万+款,去重后约有5.5万款,本次检测选取14个应用商店中48591款应用,共检测出8313款有较多安全问题的APP。从总体情况看,重点行业有50%以上的APP存在各种漏洞风险,严重威胁着用户信息及财产安全。
一、检测范围
1、检测区域:四川省18个地级市与三个自治州
2、检测数量:48591款
3、APP类型:金融、交通、水利、医疗、政务、生活服务等行业
二、检测结果
1、移动应用区域情况
从APP数量来看,成都市43890款、绵阳市1260款、德阳市426款分别名列四川省前三。
从检测情况来看,成都市发现的风险APP高达7478个,其余区域的风险APP数量也不乐观。
2、移动应用重点行业情况
本次对四川省移动应用检测发现,重点行业有50%以上的APP存在各种风险漏洞,未加固的应用几乎都存在数据库注入漏洞与WebView远程代码执行漏洞,数据库注入漏洞会导致应用数据存储的敏感数据信息被查询泄露,例如用户名、密码等,或者产生查询异常导致应用崩溃。具体情况如下:
3、移动应用风险漏洞情况
从收集到的APP风险漏洞类别来看,排在首位的是SO文件加固检测,占比11.63%,其次是硬编码风险,占比9.79%,其余漏洞情况如下:
4、移动应用渠道情况
本次参与检测的应用商店共14个,其中华为应用风险APP比例较高,占比高达55.68%。而在影响力较大、用户较多的应用平台中,百度手机助手安全系数较高。
三、风险检测项说明
1. SO文件加固检测
SO文件被破解可能导致应用的核心功能代码和算法泄露,攻击者利用核心功能与算法可轻易抓取到客户端的敏感数据并对其解密,导致用户的隐私泄露或直接财产损失。
2. 硬编码风险
硬编码是指将可变变量用一个固定值来代替的方法,用这种方法编译后,黑客可通过查找标记导致加密数据被破解,数据不再保密,有的导致和服务器通信的加签被破解。
3. 绕过签名校验漏洞
在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。通俗可以理解为:改变APK中的代码而签名不动,达到修改APK而不进行重新签名,绕过安卓系统的签名校验漏洞。
4. 动态注册receiver
动态注册的BroadcastReceiver可能导致拒绝服务攻击、应用数据泄露或越权调用等风险。
5. WebView 远程代码执行漏洞
通过addJavascriptInterface给WebView加入一个 JavaScript桥接接口,导致手机被安装木马程序,发送扣费短信、通信录或者短信被窃取、甚至手机被远程控制。
6. IP检测
将IP地址硬编码在代码中,使得变量不易改变,一旦服务器主机IP地址变化,对应也要把代码中所有变化的硬编码IP地址修改,维护起来比较繁琐。
7. RSA加密算法不安全使用
可能导致客户端隐私数据泄露、加密文件破解、传输数据被获取、中间人攻击等后果,造成用户敏感信息被窃取,甚至造成财产损失。
8. 数据库注入漏洞
未对SQL查询语句的字段参数作过滤判断,应用本地数据库可能被注入攻击,导致存储的敏感数据信息被查询泄露,例如用户名、密码等,或者产生查询异常导致应用崩溃。
9. Java代码加壳检测
Java文件未进行加壳保护,可能面临被反编译的风险,攻击者通过baksmali/apktool/dex2jar等反编译工具得到应用程序的代码,导致代码逻辑泄露、重要数据加密代码逻辑泄露等。
10. WebView明文存储密码漏洞
攻击者可能通过root的方式访问该应用的WebView数据库,从而窃取本地明文存储的用户名和密码。
爱加密提示:问题APP一旦被不法分子所利用,将会给用户和开发者带来信息数据和财产方面的巨大损失。在政府及公民不断重视个人信息财产安全的今天,除了提高安全意识,更需要自动化、智能化的安全工具,保护广大用户及开发者的信息和财产安全。
附录:检测依据
《信息安全技术移动智能终端个人信息保护技术要求》
《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
《电子银行业务管理办法》
《电子银行安全评估指引》
《中国金融移动支付客户端技术规范》
《中国金融移动支付应用安全规范》
《移动互联网应用软件安全评估大纲》
《中华人民共和国网络安全法》
《移动互联网应用程序信息服务管理规定》
下一篇: 又双叒叕 爱加密安全能力再获肯定
京公网安备
11010802025310号
