APP漏洞的安全问题,主要集中在android系统开源方面,能被黑客攻击的安全问题也主要集中在android系统上,ios系统安全性相对较强。安卓系统本身就存在漏洞,比如openSSL漏洞、Pileup漏洞、耗电等层出不穷的漏洞,再加上安卓系统的开源性,在带给开发者灵活性的同时,也给某些黑客带来可乘之机。
漏洞的环境
在近期发布了《2015年第一季度移动安全报告》,在报告显示,在安卓移动应用平台,16个行业的top10应用共有4,775个漏洞,平均每个应用有30个漏洞。4,775个风险漏洞中,44%属于高危漏洞、56%属于中危漏洞,显示热门应用的安全漏洞不容乐观。
金融、影音、生活行业的应用漏洞总量最多,由于用户量大,漏洞潜在的影响也较大。
金融行业top10应用平均漏洞数目为34个。其中21%是Webview明文存储漏洞,可导致用户账号密码泄露;18%是Webview远程代码执行漏洞,可导致用户手机被远程控制、隐私泄露等风险。
游戏行业top10应用平均漏洞数目为15个。其中28%是Webview明文存储漏洞,可导致用户账号密码泄露;24%是SharedPrefs配置错误漏洞,可导致用户个人身份信息、密码等敏感信息泄露。
网购行业top10应用平均漏洞数目为34个。其中29%是Webview明文存储漏洞,可导致用户账号密码泄露;22%是拒绝服务漏洞,可导致特定恶意数据被写入组件造成应用崩溃,从而拒绝服务,影响应用开发者和用户体验。
漏洞的危害
危害一:导致用户隐私泄露。黑客利用App漏洞,植入恶意代码或手机病毒,窃取用户隐私的行为极为常见 。在与本身功能毫不相干的情况下,获取智能手机用户的短信记录、通话记录、通讯录等敏感个人信息。这些抓取行为并非相关移动App为用户提供的应用服务功能所必需,而是由于App感染病毒所致,并且大多数普通用户对此并不知情。
危害二:导致用户财产损失。支付类App越来越受到用户的青睐,但这类App漏洞往往会给用户带来严重的财产损失。黑客通过破解支付类App,替换支付链接,诱导用户向私人账户付费,或者直接窃取App账号密码,盗取资金,严重损害开发者及用户利益。
危害三:导致山寨盗版横行。国家互联网应急中心曾对国内安卓平台超过300家非官方应用商店进行恶意程序抽检,结果显示,几乎所有的应用商店都包含有山寨恶意应用。
防范措施:爱内测的CTO表示:爱内测便是帮助开发者解决App安全问题,从源头上杜绝移动安全漏洞。作为一款App漏洞检测工具,漏洞安全检测平台能快速方便的帮助移动应用开发者找出移动应用的源码风险漏洞,后门注入风险,并提出修改建议,为开发者解决了安全性检测的难题。