文档介绍:精品文档
精品文档
1
精品文档
移动APP安全评估
范围
开发单位统筹建设的 1款移动APP软件(包括APP内嵌的安卓
版和IOS版应用)以及APP管理平台。
实施内容
随着互联网时代的到来,智能手机和 iPad等移动终端设备越来
越普及,人们逐渐习惯了使用应用客户端上网的方式, 而智能终端的
普及不仅推动了移动互联网的发展,也带来了移动应用 APP的爆炸
式增长。这些海量的 APP可能会面临如下威胁:
图移动APP面临的威胁
随着智能终端的不断普及,国内智能手机用户已经超过 5亿,作
为第一大系统平台的 Android上,各类apk应用数量也在飞速增长。
在应用数量和APP应用种类丌断扩大的同时,Android作为一个开放
系统,各类应用安全问题也丌断的涌现,例如安装包逆向反编译,恶
意代码注入,应用盗版,界面劫持,短信劫持,丌仁开发者的知识版
权也无法得到保证,而丏还会导致用户的信息泄露甚至经济损失。 手
机应用的安全需求,已经成为整个应用市场发展面临的一个主要问题。
虽然获知当前应用市场的安全现状,但由于手机应用安全的与业性,普通开发者和用户可能无法全面了解到apk中的安全风险和漏洞,难以对手机应用安全作出深入的评估分析,更加无法对其中的安全问题逐一解决,而与业的移劢应用安全工程师人才稀少幵丏成本较高,无法满足应用开发的实际需求。
以AndroidAPP为例,其安全问题不容乐观。从漏洞类别来看,
AndroidAPP漏洞中排在首位的是 sql注入类漏洞,%,其次
是webview漏洞,%,。从漏洞风险级别来看,Android
APP中高危漏洞占 %,%,其中高危漏洞主要集
中在webview系列和https证书未校验上。%,
精品文档
精品文档
2
精品文档
主要是代码中未过滤用户输入,攻击者可通过提交恶意
�
SQL
�
查询语
精品文档
精品文档
9
精品文档
句达到其作恶目的。
�
SQL注入虽大部分属于中低危漏洞,
�
但仍可造成
精品文档
精品文档
9
精品文档
敏感数据、系统最高权限被窃取等问题。 webview的一些高危漏洞,
主要由代码中使用 addJavascriptInterface等危险函数、使用不校验证
书等因素导致。这些漏洞可远程执行代码,对用户远程安装恶意软件。
Https 相 关 的 高 危 漏 洞 , 主 要 由 https 使 用
ALLOW_ALL_HOSTNAME_VERIFIER 等参数校验证书,没有对主
机等信息进行校验导致,这些漏洞会引发攻击者轻易劫持 https会话、
嗅探用户密码和其他敏感信息等问题。
图AndroidAPP漏洞类别占比图
Androidapp的漏洞类型很多,如SQL注入、webview系列漏洞、
文件模式配置错误、HTTPS不校验证书、拒绝服务攻击等,造成漏
洞的原因可以归结为以下两类:
1)APP开发者自身的问题
编码不规范
很多公司对编码规范没有要求,或 APP开发者没有按照编码规
范来进行编码,容易导致敏感信息泄露,比如日志打印问题、在发行
版本中没有关闭日志打印功能等。
精品文档
精品文档
9
精品文档
安全意识不够
很多android函数的参数需慎用,如常用函数openFileOutput,
,就容易泄露androidapp的数
据。另外,接口处理需要更加严谨,例如暴露了一个接口,允许运行
用户输入的信息,若对信息未做任何处理,就容易引起拒绝服务攻击
等安全问题。
2)Android上0day的发现
Android上0day的发现,可导致AndroidAPP以前安全的功能变
得不安全,在Android系统没有补丁的情况下,需及时在AndroidAPP
上打补丁,但鉴于很多AndroidAPP开发者对漏洞信息不敏感等原因,
并未做到及时修补,从而导致漏洞的存在。
计划投入6名技术人员到移动 APP安全评估中,并由省重点实验
室的专家团队负责实施过程中技术问题的咨询与指导。由一名具有
年以上信息安全方面工作经验的高级工程师作为项目经理,具体负责该团队工作分工、工作的质量及进度控制,并与开发单位信息中心的联系人第一时间沟通安全服