廣州熱線

??摘要：隨著各種系統(tǒng)漏洞的不斷披露，加上Android系統(tǒng)碎片化嚴重，移動應用漏洞安全問題還將進一步加深、演化。

? ?從1月的一大波Android銀行木馬襲擊，到3.15晚會公民信息泄露事件披露;從5月的“勒索病毒Wanncry”變種在移動端侵襲，到11月的手機變成挖礦機;2017年移動互聯網安全事件一波未平一波又起，黑客攻擊手段不斷進化，引發(fā)了一系列新的安全威脅和挑戰(zhàn)。

??面對不斷升級的安全威脅，更多移動應用開發(fā)企業(yè)意識到保護移動應用安全不能僅僅依賴移動安全廠商，移動應用自身漏洞安全問題同樣需要重視。

為了讓移動應用開發(fā)者及移動互聯網企業(yè)更加了解移動應用漏洞安全問題，通付盾移動安全實驗室基于全渠道應用監(jiān)測平臺，對2017年移動應用漏洞數據進行匯總分析，公布以下數據結論供廣大用戶、開發(fā)者及企業(yè)參考：

2017年全網移動應用總量560萬+(版本重復不累計)，同比2016年增長4.30%，其中85萬+的高危漏洞應用，共包含高危漏洞總計840萬+，平均每1個移動應用至少含有1.5個高危漏洞。

▲數據來源：通付盾移動安全實驗室全渠道應用監(jiān)測平臺

通付盾移動安全實驗室安全同時基于全渠道應用監(jiān)測平臺，對用戶危害巨大的安全漏洞進行分析，給出2017年移動應用十大高危漏洞(按照嚴重程度給予排名)：

2017移動應用十大高危漏洞

1. WebView遠程代碼執(zhí)行漏洞

通付盾移動安全實驗室安全專家指出，所有Android API level 16以及之前的版本皆存在遠程代碼執(zhí)行安全漏洞，曾有多款Android流行應用被曝出高危掛馬漏洞：點擊消息或朋友社區(qū)圈中的一條網址時，用戶手機就會自動執(zhí)行被掛馬的代碼指令，從而導致被安裝惡意扣費軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠程控制等嚴重后果。大批TOP應用如微信、QQ、快播、百度瀏覽器等均受到不同程度影響。

2. 界面劫持漏洞

安全專家表示，該類漏洞可致用戶關鍵信息，例如賬號、密碼、銀行卡等信息被竊取。用戶可能在未察覺的情況下將自己的賬號、密碼信息輸入到仿冒界面中，惡意程序再把這些數據返回到服務器中，完成釣魚攻擊。2017年11月，一個駐留在Android MediaProjection功能服務中的該類型漏洞被曝出，該漏洞允許惡意程序在用戶不知情的情況下，捕獲用戶的屏幕內容及錄制音頻，超過78%的Android設備受此漏洞影響。

3. 權限漏洞

安全專家提出，該類型漏洞致使攻擊者惡意讀取文件內容，獲取敏感信息，破壞完整性;或者在Manifest文件中調用一些敏感的用戶權限，導致用戶隱私數據泄露，釣魚扣費等。2017年10月30日至11月5日，國家互聯網應急中心通過自主監(jiān)測和樣本交換形式，共發(fā)現73個竊取用戶個人信息的惡意程序變種，利用該類型漏洞感染用戶29243個，對用戶信息安全造成嚴重的安全威脅。

4. 篡改和二次打包漏洞

該類型漏洞包括：對客戶端程序添加或修改代碼，修改客戶端資源圖片，配置信息、圖標，添加廣告，推廣產品，再生成新的客戶端程序，導致大量盜版應用的出現分食開發(fā)者的收入;此外，添加惡意代碼的惡意二次打包還能實現應用釣魚，導致登錄賬號密碼、支付密碼被竊取，短信驗證碼被攔截，轉賬目標賬號、金額被修改等。Apk篡改后被二次打包不僅嚴重危害開發(fā)者版權和經濟利益，而且也使app用戶遭受到不法應用的惡意侵害。

5. SharedPref讀寫安全漏洞

安全專家認為，具有SharedPref讀寫安全漏洞的移動應用程序，在SharedPreference文件夾中創(chuàng)建數據存儲文件時，設置為全局可讀或可寫，導致任意第三方應用都可以進行文件讀寫操作，增加用戶敏感信息泄漏風險。6月中旬，亞馬遜和小紅書網站用戶因此類漏洞而遭遇信息泄露危機，大量個人信息外泄導致電話詐騙猛增，致使一位用戶被騙金額高達43萬，小紅書50多位用戶也因此造成80多萬的損失。

6. WebView組件忽略SSL證書驗證錯誤漏洞

通付盾移動安全實驗室安全專家表示，Android WebView組件加載網頁發(fā)生證書認證錯誤時，會調用WebViewClient.onReceivedSslError方法，如果該方法調用了handler.proceed()來忽略該證書錯誤，容易受到中間人攻擊，導致隱私泄露。通付盾全渠道應用監(jiān)測平臺顯示，2017年高達17.59%的移動應用存在該類型漏洞，受影響用戶不計其數。

7. 固定端口監(jiān)聽風險漏洞

通付盾移動安全實驗室安全專家透露，目前15.24%的手機應用存在固定端口監(jiān)聽風險漏洞，漏洞產生原因在于，這些應用在開啟Socket服務后，不停接收數據，但是對數據的來源和內容的真實性缺乏驗證。

8. 數據弱加密漏洞

經通付盾移動安全實驗室安全專家分析，開發(fā)者在應用開發(fā)時對敏感數據沒有做足夠的檢查，直接與其中嵌入的第三方庫交互，可能導致敏感數據泄露、竊取、監(jiān)控。2017年針對公民個人敏感數據泄露的新聞此起彼伏，11月份爆出趣店百萬學生數據遭泄露事件，包括學生借款金額、滯納金等金融數據，以及學生父母電話、男女朋友電話、學信網賬號密碼等隱私信息均被泄露。

9. 動態(tài)注冊廣播暴露風險

Android可以在配置文件中聲明一個receiver或者動態(tài)注冊一個receiver來接收廣播信息，攻擊者假冒APP構造廣播發(fā)送給被攻擊的receiver，使被攻擊的APP執(zhí)行某些敏感行為或者返回敏感信息等，如果receiver接收到有害的數據或者命令時可能泄露數據或者導致拒絕服務等，會造成用戶的信息泄漏甚至是財產損失。

10. 業(yè)務邏輯漏洞

通付盾移動安全實驗室安全專家認為，業(yè)務邏輯漏洞可能使得用戶面對驗證碼或密碼被暴力破解、受到重放攻擊、受到大量垃圾短信，甚至敏感信息(如密碼或信用卡數據)被公開等種種威脅。2017年3月，摩拜單車APP業(yè)務邏輯漏洞，充一元錢竟然返現110。有網友利用此漏洞進行多次充值，共充值車費1500元，實際僅支付15元錢。2017年OfO小黃單車客戶端因忽略了該類型漏洞，導致在共享單車“紅包大戰(zhàn)”中日虧損千萬的后果。

此外，移動應用的開發(fā)涉及許多第三方SDK，包括支付、統(tǒng)計、廣告、社交、推送、地圖等，除了以上十大高危安全漏洞問題，2017年移動應用第三方SDK安全漏洞對用戶影響范圍同樣巨大。

SDK漏洞一旦被利用，攻擊者就能利用SDK本身的功能發(fā)動惡意攻擊，例如在用戶毫無察覺的情況下打開相機拍照，通過發(fā)送短信盜取雙因子認證令牌，或將設備變成僵尸網絡一部分。

隨著各種系統(tǒng)漏洞的不斷披露，加上Android系統(tǒng)碎片化嚴重，移動應用漏洞安全問題還將進一步加深、演化。移動應用十大高危漏洞的公布，希望引起用戶及移動互聯網企業(yè)對移動應用漏洞的關注與重視。

通付盾移動安全實驗室長期專注移動應用安全，邁進全新的2018年，愿與用戶、廠商、開發(fā)者齊心協力，共同解決移動安全漏洞問題。