??摘要：隨著各種系統(tǒng)漏洞的不斷披露，加上Android系統(tǒng)碎片化嚴(yán)重，移動應(yīng)用漏洞安全問題還將進一步加深、演化。

? ?從1月的一大波Android銀行木馬襲擊，到3.15晚會公民信息泄露事件披露;從5月的“勒索病毒W(wǎng)anncry”變種在移動端侵襲，到11月的手機變成挖礦機;2017年移動互聯(lián)網(wǎng)安全事件一波未平一波又起，黑客攻擊手段不斷進化，引發(fā)了一系列新的安全威脅和挑戰(zhàn)。

??面對不斷升級的安全威脅，更多移動應(yīng)用開發(fā)企業(yè)意識到保護移動應(yīng)用安全不能僅僅依賴移動安全廠商，移動應(yīng)用自身漏洞安全問題同樣需要重視。

為了讓移動應(yīng)用開發(fā)者及移動互聯(lián)網(wǎng)企業(yè)更加了解移動應(yīng)用漏洞安全問題，通付盾移動安全實驗室基于全渠道應(yīng)用監(jiān)測平臺，對2017年移動應(yīng)用漏洞數(shù)據(jù)進行匯總分析，公布以下數(shù)據(jù)結(jié)論供廣大用戶、開發(fā)者及企業(yè)參考：

2017年全網(wǎng)移動應(yīng)用總量560萬+(版本重復(fù)不累計)，同比2016年增長4.30%，其中85萬+的高危漏洞應(yīng)用，共包含高危漏洞總計840萬+，平均每1個移動應(yīng)用至少含有1.5個高危漏洞。

▲數(shù)據(jù)來源：通付盾移動安全實驗室全渠道應(yīng)用監(jiān)測平臺

通付盾移動安全實驗室安全同時基于全渠道應(yīng)用監(jiān)測平臺，對用戶危害巨大的安全漏洞進行分析，給出2017年移動應(yīng)用十大高危漏洞(按照嚴(yán)重程度給予排名)：

2017移動應(yīng)用十大高危漏洞

1. WebView遠(yuǎn)程代碼執(zhí)行漏洞

通付盾移動安全實驗室安全專家指出，所有Android API level 16以及之前的版本皆存在遠(yuǎn)程代碼執(zhí)行安全漏洞，曾有多款A(yù)ndroid流行應(yīng)用被曝出高危掛馬漏洞：點擊消息或朋友社區(qū)圈中的一條網(wǎng)址時，用戶手機就會自動執(zhí)行被掛馬的代碼指令，從而導(dǎo)致被安裝惡意扣費軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取以及被遠(yuǎn)程控制等嚴(yán)重后果。大批TOP應(yīng)用如微信、QQ、快播、百度瀏覽器等均受到不同程度影響。

2. 界面劫持漏洞

安全專家表示，該類漏洞可致用戶關(guān)鍵信息，例如賬號、密碼、銀行卡等信息被竊取。用戶可能在未察覺的情況下將自己的賬號、密碼信息輸入到仿冒界面中，惡意程序再把這些數(shù)據(jù)返回到服務(wù)器中，完成釣魚攻擊。2017年11月，一個駐留在Android MediaProjection功能服務(wù)中的該類型漏洞被曝出，該漏洞允許惡意程序在用戶不知情的情況下，捕獲用戶的屏幕內(nèi)容及錄制音頻，超過78%的Android設(shè)備受此漏洞影響。

3. 權(quán)限漏洞

安全專家提出，該類型漏洞致使攻擊者惡意讀取文件內(nèi)容，獲取敏感信息，破壞完整性;或者在Manifest文件中調(diào)用一些敏感的用戶權(quán)限，導(dǎo)致用戶隱私數(shù)據(jù)泄露，釣魚扣費等。2017年10月30日至11月5日，國家互聯(lián)網(wǎng)應(yīng)急中心通過自主監(jiān)測和樣本交換形式，共發(fā)現(xiàn)73個竊取用戶個人信息的惡意程序變種，利用該類型漏洞感染用戶29243個，對用戶信息安全造成嚴(yán)重的安全威脅。

4. 篡改和二次打包漏洞

該類型漏洞包括：對客戶端程序添加或修改代碼，修改客戶端資源圖片，配置信息、圖標(biāo)，添加廣告，推廣產(chǎn)品，再生成新的客戶端程序，導(dǎo)致大量盜版應(yīng)用的出現(xiàn)分食開發(fā)者的收入;此外，添加惡意代碼的惡意二次打包還能實現(xiàn)應(yīng)用釣魚，導(dǎo)致登錄賬號密碼、支付密碼被竊取，短信驗證碼被攔截，轉(zhuǎn)賬目標(biāo)賬號、金額被修改等。Apk篡改后被二次打包不僅嚴(yán)重危害開發(fā)者版權(quán)和經(jīng)濟利益，而且也使app用戶遭受到不法應(yīng)用的惡意侵害。

5. SharedPref讀寫安全漏洞

安全專家認(rèn)為，具有SharedPref讀寫安全漏洞的移動應(yīng)用程序，在SharedPreference文件夾中創(chuàng)建數(shù)據(jù)存儲文件時，設(shè)置為全局可讀或可寫，導(dǎo)致任意第三方應(yīng)用都可以進行文件讀寫操作，增加用戶敏感信息泄漏風(fēng)險。6月中旬，亞馬遜和小紅書網(wǎng)站用戶因此類漏洞而遭遇信息泄露危機，大量個人信息外泄導(dǎo)致電話詐騙猛增，致使一位用戶被騙金額高達43萬，小紅書50多位用戶也因此造成80多萬的損失。

6. WebView組件忽略SSL證書驗證錯誤漏洞

通付盾移動安全實驗室安全專家表示，Android WebView組件加載網(wǎng)頁發(fā)生證書認(rèn)證錯誤時，會調(diào)用WebViewClient.onReceivedSslError方法，如果該方法調(diào)用了handler.proceed()來忽略該證書錯誤，容易受到中間人攻擊，導(dǎo)致隱私泄露。通付盾全渠道應(yīng)用監(jiān)測平臺顯示，2017年高達17.59%的移動應(yīng)用存在該類型漏洞，受影響用戶不計其數(shù)。

7. 固定端口監(jiān)聽風(fēng)險漏洞

通付盾移動安全實驗室安全專家透露，目前15.24%的手機應(yīng)用存在固定端口監(jiān)聽風(fēng)險漏洞，漏洞產(chǎn)生原因在于，這些應(yīng)用在開啟Socket服務(wù)后，不停接收數(shù)據(jù)，但是對數(shù)據(jù)的來源和內(nèi)容的真實性缺乏驗證。

8. 數(shù)據(jù)弱加密漏洞

經(jīng)通付盾移動安全實驗室安全專家分析，開發(fā)者在應(yīng)用開發(fā)時對敏感數(shù)據(jù)沒有做足夠的檢查，直接與其中嵌入的第三方庫交互，可能導(dǎo)致敏感數(shù)據(jù)泄露、竊取、監(jiān)控。2017年針對公民個人敏感數(shù)據(jù)泄露的新聞此起彼伏，11月份爆出趣店百萬學(xué)生數(shù)據(jù)遭泄露事件，包括學(xué)生借款金額、滯納金等金融數(shù)據(jù)，以及學(xué)生父母電話、男女朋友電話、學(xué)信網(wǎng)賬號密碼等隱私信息均被泄露。

9. 動態(tài)注冊廣播暴露風(fēng)險

Android可以在配置文件中聲明一個receiver或者動態(tài)注冊一個receiver來接收廣播信息，攻擊者假冒APP構(gòu)造廣播發(fā)送給被攻擊的receiver，使被攻擊的APP執(zhí)行某些敏感行為或者返回敏感信息等，如果receiver接收到有害的數(shù)據(jù)或者命令時可能泄露數(shù)據(jù)或者導(dǎo)致拒絕服務(wù)等，會造成用戶的信息泄漏甚至是財產(chǎn)損失。

10. 業(yè)務(wù)邏輯漏洞

通付盾移動安全實驗室安全專家認(rèn)為，業(yè)務(wù)邏輯漏洞可能使得用戶面對驗證碼或密碼被暴力破解、受到重放攻擊、受到大量垃圾短信，甚至敏感信息(如密碼或信用卡數(shù)據(jù))被公開等種種威脅。2017年3月，摩拜單車APP業(yè)務(wù)邏輯漏洞，充一元錢竟然返現(xiàn)110。有網(wǎng)友利用此漏洞進行多次充值，共充值車費1500元，實際僅支付15元錢。2017年OfO小黃單車客戶端因忽略了該類型漏洞，導(dǎo)致在共享單車“紅包大戰(zhàn)”中日虧損千萬的后果。

此外，移動應(yīng)用的開發(fā)涉及許多第三方SDK，包括支付、統(tǒng)計、廣告、社交、推送、地圖等，除了以上十大高危安全漏洞問題，2017年移動應(yīng)用第三方SDK安全漏洞對用戶影響范圍同樣巨大。

SDK漏洞一旦被利用，攻擊者就能利用SDK本身的功能發(fā)動惡意攻擊，例如在用戶毫無察覺的情況下打開相機拍照，通過發(fā)送短信盜取雙因子認(rèn)證令牌，或?qū)⒃O(shè)備變成僵尸網(wǎng)絡(luò)一部分。

隨著各種系統(tǒng)漏洞的不斷披露，加上Android系統(tǒng)碎片化嚴(yán)重，移動應(yīng)用漏洞安全問題還將進一步加深、演化。移動應(yīng)用十大高危漏洞的公布，希望引起用戶及移動互聯(lián)網(wǎng)企業(yè)對移動應(yīng)用漏洞的關(guān)注與重視。

通付盾移動安全實驗室長期專注移動應(yīng)用安全，邁進全新的2018年，愿與用戶、廠商、開發(fā)者齊心協(xié)力，共同解決移動安全漏洞問題。