您现在的位置: 天极网 > IT新闻 > 业内快讯

爱加密发布 │ 四川省移动应用APP检测报告

Yesky天极新闻 2018-12-18 10:37 我要吐槽

  【天极网IT新闻频道】爱加密发布 │ 四川省移动应用APP检测报告

  随着移动互联网的快速发展以及各类手机应用的兴起,APP已成为国民日常生活中不可或缺的工具。当用户在享用APP带来便利的时候,个人信息可能正在面临各种未知风险。近期,爱加密联合四川省公安厅对四川省辖区内所有APP进行检测分析,进一步规范行业秩序,打击违规违法移动应用,保护用户的合法权益及信息安全。

  通过检测发现,四川省共有APP 12万+款,去重后约有5.5万款,本次检测选取14个应用商店中48591款应用,共检测出8313款有较多安全问题的APP。从总体情况看,重点行业有50%以上的APP存在各种漏洞风险,严重威胁着用户信息及财产安全。

  一、检测范围

  1、检测区域:四川省18个地级市与三个自治州

  2、检测数量:48591款

  3、APP类型:金融、交通、水利、医疗、政务、生活服务等行业

  二、检测结果

  1、移动应用区域情况

   从APP数量来看,成都市43890款、绵阳市1260款、德阳市426款分别名列四川省前三。

   从检测情况来看,成都市发现的风险APP高达7478个,其余区域的风险APP数量也不乐观。

  2、移动应用重点行业情况

  本次对四川省移动应用检测发现,重点行业有50%以上的APP存在各种风险漏洞,未加固的应用几乎都存在数据库注入漏洞与WebView远程代码执行漏洞,数据库注入漏洞会导致应用数据存储的敏感数据信息被查询泄露,例如用户名、密码等,或者产生查询异常导致应用崩溃。具体情况如下:

  3、移动应用风险漏洞情况

  从收集到的APP风险漏洞类别来看,排在首位的是SO文件加固检测,占比11.63%,其次是硬编码风险,占比9.79%,其余漏洞情况如下:

  4、移动应用渠道情况

  本次参与检测的应用商店共14个,其中华为应用风险APP比例较高,占比高达55.68%。而在影响力较大、用户较多的应用平台中,百度手机助手安全系数较高。

  三、风险检测项说明

  1. SO文件加固检测

  SO文件被破解可能导致应用的核心功能代码和算法泄露,攻击者利用核心功能与算法可轻易抓取到客户端的敏感数据并对其解密,导致用户的隐私泄露或直接财产损失。

  2. 硬编码风险

  硬编码是指将可变变量用一个固定值来代替的方法,用这种方法编译后,黑客可通过查找标记导致加密数据被破解,数据不再保密,有的导致和服务器通信的加签被破解。

  3. 绕过签名校验漏洞

  在不影响应用签名的情况下,向安卓应用的 APK 或 DEX 格式中添加代码。通俗可以理解为:改变APK中的代码而签名不动,达到修改APK而不进行重新签名,绕过安卓系统的签名校验漏洞。

  4. 动态注册receiver

  动态注册的BroadcastReceiver可能导致拒绝服务攻击、应用数据泄露或越权调用等风险。

  5. WebView 远程代码执行漏洞

  通过addJavascriptInterface给WebView加入一个 JavaScript桥接接口,导致手机被安装木马程序,发送扣费短信、通信录或者短信被窃取、甚至手机被远程控制。

  6. IP检测

  将IP地址硬编码在代码中,使得变量不易改变,一旦服务器主机IP地址变化,对应也要把代码中所有变化的硬编码IP地址修改,维护起来比较繁琐。

  7. RSA加密算法不安全使用

  可能导致客户端隐私数据泄露、加密文件破解、传输数据被获取、中间人攻击等后果,造成用户敏感信息被窃取,甚至造成财产损失。

  8. 数据库注入漏洞

  未对SQL查询语句的字段参数作过滤判断,应用本地数据库可能被注入攻击,导致存储的敏感数据信息被查询泄露,例如用户名、密码等,或者产生查询异常导致应用崩溃。

  9. Java代码加壳检测

  Java文件未进行加壳保护,可能面临被反编译的风险,攻击者通过baksmali/apktool/dex2jar等反编译工具得到应用程序的代码,导致代码逻辑泄露、重要数据加密代码逻辑泄露等。

  10. WebView明文存储密码漏洞

  攻击者可能通过root的方式访问该应用的WebView数据库,从而窃取本地明文存储的用户名和密码。

  爱加密提示:问题APP一旦被不法分子所利用,将会给用户和开发者带来信息数据和财产方面的巨大损失。在政府及公民不断重视个人信息财产安全的今天,除了提高安全意识,更需要自动化、智能化的安全工具,保护广大用户及开发者的信息和财产安全。

  附录:检测依据

  《信息安全技术移动智能终端个人信息保护技术要求》

  《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》

  《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》

  《电子银行业务管理办法》

  《电子银行安全评估指引》

  《中国金融移动支付客户端技术规范》

  《中国金融移动支付应用安全规范》

  《移动互联网应用软件安全评估大纲》

  《中华人民共和国网络安全法》

  《移动互联网应用程序信息服务管理规定》

  1

(广告资讯)
免责声明:以上内容为本网站转自其它媒体,相关信息仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性。
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
今日更新
1大公司晨读:小米否认辐射量超标
大公司晨读

小米印度于12日发表声明,称在印度销售的小米智能手机都符合印度的SAR…

2这E天:传滴滴亏损109亿
这E天

苹果春季新品发布会主角非硬件产品;开年旗舰小米9正式官宣,2月20日见…

3三星S10预售:多款机型供选择
三星S10预售

三星S10系列将于2月21日发布,目前三星官网已经开启了三星S10系列…

4小米9终于官宣 2月20日见
小米9

今天上午10点,小米官方正式宣布了2019开年旗舰——小米9将于2月2…

5小米9“战斗天使”官宣
小米9官宣

小米9正式官宣,将于2月20日召开发布会。小米内部为小米9取名代号“战…

热门文章
1《流浪地球》高清资源被泄露
流浪地球电影

截止到昨日下午,《流浪地球》票房已经破十亿,而片方却无暇庆祝。

2大公司:小米获得四曲面屏幕专利
大公司晨读

小米获得四曲面屏幕专利:上下左右都是弯的;德国不想禁止华为参与该国5G…

3大公司晨读:春节游客最多城市
大公司晨读

春节游客接待最多城市排名出炉,重庆位居第一名,北京和上海分别位居第二三…

4大公司:苹果发布iOS最新更新
大公司晨读

苹果发布iOS 12.1.4更新 修复FaceTime漏洞;支付宝全球…

5大公司晨读:2019春节数据比拼
大公司晨读

大公司晨读:2019春节期间,8.23亿人收发微信红包、美团外卖年夜饭…

6大公司晨读:iPhone换机周期
大公司晨读

伯恩斯坦的分析师表示,人们对iPhone的更新换代周期延长,这可能给苹…

7大公司晨读:vivo全新子品牌iQOO
大公司晨读

vivo官方正式宣布了“iQOO手机”,从海报来看,“iQOO手机”似…

8小米9终于官宣 2月20日见
小米9

今天上午10点,小米官方正式宣布了2019开年旗舰——小米9将于2月2…

9收藏贴:iPhone实用小技巧合集
iPhone小技巧

这是天妹搜集的有关iPhone的实用小技巧合集,奉献给大家,记得收藏起…

10印度孩子举拖鞋自拍:雷军感慨
举拖鞋自拍

一组印度小孩举拖鞋“自拍”照走红网络,照片中五个印度小孩高举拖鞋进行“…

每日IT极热