-
-
[原创]移动安全漏洞分析报告
-
发表于: 2014-10-17 15:18
-
【报告来源】:阿里巴巴移动安全团队
【官方微博】:http://weibo.com/alimobilesecurity (欢迎各位大神关注)
【发布日期】:2014-10-17
报告摘要
随着移动互联网的发展和智能手机的普及,基于android系统的各类app出现爆发式增长,但在增长的同时,一个不容忽视的问题越来越重要:安全。
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。
本报告选取11类android app中同等数量的热门app,其活跃用户量可覆盖83%的移动端网民,根据阿里巴巴移动安全中心对这些app的漏洞检测,得到以下结论:
●
参与检测的android app中,近97%的app都存在漏洞问题,且平均漏洞量高达40个。
●
安全类app漏洞问题最多,其漏洞总量499个,占所有类别app漏洞总量的21%。
●
新闻、旅游类app相对最不安全,其各自漏洞总量约240个,且其中高危漏洞量占比30%。
●
游戏类app相对最安全,漏洞总量约57个,且其中高危漏洞占比约2%。
从测试结果来看,android app的安全问题不容乐观,漏洞的存在尤其是高危漏洞,会对app开发者甚至用户带来较大影响,如何提前发现潜在风险、保护开发者和用户的利益是阿里巴巴移动安全团队一直坚持的责任。
第一章 Android APP漏洞现状
为了解android app的总体现状,报告中将app归纳为11个类别:健康、娱乐、安全、教育、新闻、旅游、游戏、社交、购物、金融、阅读。选取11类app中等量热门app,并使用阿里巴巴聚安全的漏洞扫描产品进行静态和动态检测,扫描结果如下:
●
从漏洞类别来看,android app漏洞中排在首位的是sql注入类漏洞,占比38.2%,其次是webview漏洞,占比35.4%,见左图。
●
从漏洞风险级别来看,android app中高危漏洞占20.7%,低危漏洞占79.3%,其中高危漏洞主要集中在webview系列和https证书未校验上。
SQL注入类漏洞占比38.2%,主要是代码中未过滤用户输入,攻击者可通过提交恶意sql查询语句达到其作恶目的。Sql注入虽大部分属于中低危漏洞,但仍可造成敏感数据、系统最高权限被窃取等问题。
Webview的一些高危漏洞,主要由代码中使用addJavascriptInterface等危险函数、使用不校验证书等因素导致。这些漏洞可远程执行代码,对用户远程安装恶意软件。
Https相关的高危漏洞,主要由https使用ALLOW_ALL_HOSTNAME_VERIFIER等参数校验证书,没有对主机等信息进行校验导致,这些漏洞会引发攻击者轻易劫持https会话、嗅探用户密码和其他敏感信息等问题。
高危漏洞潜藏着巨大的安全问题,但从测试结果来看,很多android app都存在高危漏洞问题,其安全性令人担忧。
第二章 Android APP漏洞问题分析
本章将对app的漏洞扫描结果进一步分析,首先将分析漏洞的静态和动态检测结果,其次将总结归纳漏洞产生的原因。
2.1 各类别app漏洞情况分析
1. 漏洞的静态扫描结果分析
使用阿里巴巴聚安全的漏洞扫描产品,对11个类别同等数量的热门app进行静态扫描,各类app的安全情况不尽相同:
●
参与测试的app中近97%的app都有安全漏洞,且平均漏洞量达40个。
●
安全类app漏洞问题最多。
- 在检测到的所有漏洞中,安全类app的漏洞总量多达499个(约占总漏洞量21%),其中高风险漏洞占比约2%,整体而言,即便是安全类app,亦存在较多的安全问题。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
沙发~
|
|
|
 顶下~
|
|
|
|
|
|
|
|
|
|
|
|
|
