《阿里巴巴97的app都存在漏洞问题精品》由会员分享,可在线阅读,更多相关《阿里巴巴97的app都存在漏洞问题精品(5页珍藏版)》请在金锄头文库上搜索。
1、前言随着移动互联网的发展和智能手机的普及,基于 android 系统的各类 app 出现爆发式增长,但在增长的同时,一个不容忽视的问题越来越重要:安全。漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含 SQL 注入风险、webview 系列、文件模式配置错误、https 不校验证书、database 配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file 跨域访问等。本报告选取 11 类 android app 中同等数量的热门 app,其活跃用户量可覆盖 83%的移动端网民,根据阿里巴巴移动安全中心对这些 app 的漏洞检测,得到以下结论:参与检测的 and
2、roid app 中,近 97%的 app 都存在漏洞问题,且平均漏洞量高达 40 个。安全类 app 漏洞问题最多,其漏洞总量 499 个,占所有类别 app 漏洞总量的 21%。新闻、旅游类 app 相对最不安全,其各自漏洞总量约 240 个,且其中高危漏洞量占比 30%。游戏类 app 相对最安全,漏洞总量约 57 个,且其中高危漏洞占比约 2%。从测试结果来看,android app 的安全问题不容乐观,漏洞的存在尤其是高危漏洞,会对 app 开发者甚至用户带来较大影响,如何提前发现潜在风险、保护开发者和用户的利益是阿里巴巴移动安全团队一直坚持的责任。一、Android APP 漏洞现
3、状为了解 android app 的总体现状,报告中将 app 归纳为 11 个类别:健康、娱乐、安全、教育、新闻、旅游、游戏、社交、购物、金融、阅读。选取 11 类 app 中等量热门 app,并使用阿里巴巴聚安全的漏洞扫描产品进行静态和动态检测,扫描结果如下:从漏洞类别来看,android app 漏洞中排在首位的是 sql 注入类漏洞,占比 38.2%,其次是 webview 漏洞,占比 35.4%,见左图。从漏洞风险级别来看,android app 中高危漏洞占 20.7%,低危漏洞占 79.3%,其中高危漏洞主要集中在 webview 系列和 https 证书未校验上。SQL 注入类
4、漏洞占比 38.2%,主要是代码中未过滤用户输入,攻击者可通过提交恶意 sql 查询语句达到其作恶目的。Sql 注入虽大部分属于中低危漏洞,但仍可造成敏感数据、系统最高权限被窃取等问题。Webview 的一些高危漏洞,主要由代码中使用 addJavascriptInterface 等危险函数、使用不校验证书等因素导致。这些漏洞可远程执行代码,对用户远程安装恶意软件。Https 相关的高危漏洞,主要由 https 使用 ALLOW_ALL_HOSTNAME_VERIFIER 等参数校验证书,没有对主机等信息进行校验导致,这些漏洞会引发攻击者轻易劫持 https 会话、嗅探用户密码和其他敏感信息等
5、问题。高危漏洞潜藏着巨大的安全问题,但从测试结果来看,很多 android app 都存在高危漏洞问题,其安全性令人担忧。二、Android APP 漏洞问题分析 本章将对 app 的漏洞扫描结果进一步分析,首先将分析漏洞的静态和动态检测结果,其次将总结归纳漏洞产生的原因。2.1 各类别 app 漏洞情况分析2.1.1.漏洞的静态扫描结果分析使用阿里巴巴聚安全的漏洞扫描产品,对 11 个类别同等数量的热门 app 进行静态扫描,各类 app 的安全情况不尽相同: 参与测试的 app 中近 97%的 app 都有安全漏洞,且平均漏洞量达 40 个。安全类 app 漏洞问题最多。在检测到的所有漏洞
6、中,安全类 app 的漏洞总量多达 499 个(约占总漏洞量 21%),其中高风险漏洞占比约 2%,整体而言,即便是安全类 app,亦存在较多的安全问题。新闻、旅游类 app 相对最不安全新闻、旅游类 app 漏洞总量均超 230 个(约占总漏洞量的 10%),且其中高风险漏洞量占比高达 30%,在所有 app 中相对最不安全。游戏类 app 相对最安全游戏类 app 无论是漏洞总量,或是其中的高风险漏洞占比均较少,在所有 app 中相对最安全。2.1.2 漏洞的动态扫描结果分析使用阿里巴巴聚安全的漏洞扫描产品,对 11 个类别同等数量的热门 app 进行动态扫描,扫描结果几乎都是拒绝服务攻击
7、类漏洞,未发现文件目录遍历、file 跨域访问等漏洞。从以下数据图可以看出,各类别 app 或多或少都存在拒绝服务攻击漏洞,尤其以金融类(37 个)、娱乐类(35 个),购物类(32 个),安全类(28 个)为重,而游戏类的拒绝服务攻击漏洞总量相对最少(3 个)。拒绝服务漏洞其实是组件暴露问题,组件一旦被暴露,特定的恶意数据就可写入组件,从而导致该 app崩溃,造成拒绝服务,进而影响 app 开发者和用户的利益。2.1.3 总结以上分析数据说明 android 类 app 的安全问题并不容乐观,需要进一步探究造成漏洞的原因以及解决方案,以尽量避免漏洞的产生及弥补安全问题带来的影响。2.2 Ap
8、p 漏洞原因分析Android app 的漏洞类型很多,如 SQL 注入、webview 系列漏洞、文件模式配置错误、HTTPS 不校验证书、拒绝服务攻击等,造成漏洞的原因可以归结为以下两类:2.2.1App 开发者自身的问题a)编码不规范很多公司对编码规范没有要求,或 app 开发者没有按照编码规范来进行编码,容易导致敏感信息泄露,比如日志打印问题、在发行版本中没有关闭日志打印功能等。b)安全意识不够很多 android 函数的参数需慎用,如常用函数 openFileOutput,如果设置 mode 参数为Context.MODE_WORLD_READABLE 或者 Context.MODE
9、_WORLD_WRITEABLE,就容易泄露android app 的数据。另外,接口处理需要更加严谨,例如暴露了一个接口,允许运行用户输入的信息,若对信息未做任何处理,就容易引起拒绝服务攻击等安全问题。2.2.2Android 上 0day 的发现Android 上 0day 的发现,可导致 android app 以前安全的功能变得不安全,在 android 系统没有补丁的情况下,需及时在 android app 上打补丁,但鉴于很多 android app 开发者对漏洞信息不敏感等原因,并未做到及时修补,从而导致漏洞的存在。总之,Android app 的安全问题,很大程度上可能是开发者
10、犯下的低级错误。较为有效的解决办是能够在代码编写过程中使用 SDL 编码流程,同时使用漏洞扫描产品对 app 进行检测,不断修补自身 app 的安全问题。安全无小事,所有 app 开发者都应重视。三、总结本次检测采用了 11 个类别 app 中同等数量的热门 app,共扫描出近 2500 个漏洞,平均每个 android app 有 40 个安全漏洞,且约 97%的测试 app 或多或少都存在安全漏洞。这些数据反映出 android app漏洞问题的严峻性,在 app 市场上,很多 android app 都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。从漏洞检测结果来看,android app 的漏洞问题不容乐观,这些问题是否可以规避?是否有自动化的漏洞扫描产品供 app 开发者使用?是否可以降低开发者和用户的利益受损程度? 答案是肯定的,除了加强app 开发者的安全意识,在 app 发布之前利用安全产品进行漏洞扫描检测可以及早发现隐含的安全问题,保护开发者利益,保护用户利益。(本文发布于 Freebuf,由第三方 APP 加密服务商爱加密整理转载)
