<dl id="opymh"></dl>

<div id="opymh"></div>
      <div id="opymh"><tr id="opymh"></tr></div>

        <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

        <em id="opymh"></em>

        <em id="opymh"><ol id="opymh"></ol></em>

              频道栏目
              首页 > 安全 > 系统安全 > 正文

              年度盘点 2017移动应用十大高危漏洞 如何做好2018年的防御

              2018-02-26 14:14:21           
              收藏   我要投稿

              从1月的一大波Android银行木马袭击到3.15晚会公民信息泄露事件披露;从5月的“勒索病毒Wanncry”变种在移动端侵袭到11月的手机变成挖矿机;2017年移动互联网安全事件一波未平一波又起黑客攻击手段不断进化引发了一系?#34892;?#30340;安全威胁和挑战

              漏洞

              面对不断升级的安全威胁更多移动应用开发企业意识到保护移动应用安全不能仅仅依赖移动安全厂商移动应用自身漏洞安全问题同样需要重视

              为了让移动应用开发者及移动互联网企业更加了解移动应用漏洞安全问题通付盾移动安全实验?#19968;?#20110;全渠道应用监测平台对2017年移动应用漏洞数据进行汇总分析公布以下数据结论供广大用户开发者及企业参考

              2017年全网移动应用总量560万+(版本重复不累计)同比2016年增长4.30%其中85万+的高危漏洞应用共包含高危漏洞总计840万+平均每1个移动应用至少含有1.5个高危漏洞

              \

              此外基于全渠道应用监测平台对用户危害巨大的安全漏洞进行分析给出2017年移动应用十大高危漏洞(按照严重程度给予排名)

              2017移动应用十大高危漏洞

              2017移动应用十大高危漏洞

              1. WebView远程代码执行漏洞

              安全专家指出所有Android API level 16以及之前的版本皆存在远程代码执行安全漏洞曾有多款Android流行应用被曝出高危挂马漏洞点击消息或朋友社区圈中的一条网址?#20445;?#29992;户手机就会自动执行被挂马的代码指令从而导致被安装恶意扣费软件向好友发送欺诈短信通讯录?#25237;?#20449;被窃取以及被远程控?#39057;?#20005;重后果大批TOP应用如微信QQ快播百度浏览器等均受到不同程度影响

              2. 界面劫持漏洞

              安全专家表示该类漏洞可致用户关键信息例如账号密码银行卡等信息被窃取用户可能在未察觉的情况下将自己的账号密码信息输入到仿冒界面中恶意程序再把这些数据返回到服务器中完成钓鱼攻击2017年11月一个驻留在AndroidMediaProjection功能服务中的该类型漏洞被曝出该漏洞允许恶意程序在用户不知情的情况下捕获用户的屏幕内容及录制音频超过78%的Android设备受此漏洞影响

              3. 权限漏洞

              安全专家提出该类型漏洞致使攻击者恶意读取文件内容获取敏?#34892;?#24687;破坏完整性;或者在Manifest文件中调用一些敏感的用户权限导致用户隐私数据泄露钓鱼扣费?#21462;?017年10月30日至11月5日国?#19968;?#32852;网应急?#34892;?#36890;过自主监测和样本交换?#38382;?#20849;发现73个窃取用户个人信息的恶意程序变种利用该类型漏洞感染用户29243个对用户信息安全造成严重的安全威?#30149;?/p>

              4. 篡改?#25237;未?#21253;漏洞

              该类型漏洞包括对客户端程序添加或修改代码修改客户端资源?#35745;?#37197;置信息?#24613;ݏ?#28155;加广告推广产品再生成新的客户端程序导致大量盗版应用的出现分食开发者的收入;此外添加恶意代码的恶意二?#26410;?#21253;还能实现应用钓鱼导致登录账号密码支付密码被窃取短信验证码被拦截转账目标账号金额被修改?#21462;Apk篡改后被二?#26410;?#21253;不仅严重危害开发者版权和经济利益而且也使app用户遭受到不法应用的恶意侵害

              5. SharedPref读写安全漏洞

              安全专家认为具有SharedPref读写安全漏洞的移动应用程序在SharedPreference文件夹中创建数据存储文件?#20445;?#35774;置为全局可读或可写导致?#25105;?#31532;三方应用都可以进行文件读写操作增加用户敏?#34892;?#24687;泄漏风险6月中旬亚马逊和小红书网站用户因此类漏洞而遭遇信息泄露危机大量个人信息外泄导致电话诈骗猛增致使一位用户被骗金额高达43万小红书50多位用户也因此造成80多万的损失

              6. WebView组件忽略SSL证书验证错误漏洞

              安全专家表示Android WebView组件加载网页发生证书?#29616;?#38169;误?#20445;?#20250;调用WebViewClient.onReceivedSslError方法如果该方法调用了handler.proceed()来忽略该证书错误容?#36164;?#21040;中间人攻击导致隐私泄露监测平台显示2017年高达17.59%的移动应用存在该类型漏洞受影响用户不计其数

              7. 固定端口监听风险漏洞

              安全专家透露目前15.24%的手机应用存在固定端口监听风险漏洞漏洞产生原因在于这些应用在开启Socket服务后不停接收数据但是对数据的来源和内容的真实性缺乏验证

              8. 数据弱?#29992;?/a>漏洞

              经安全专家分析开发者在应用开发时对敏感数据没有做足够的检查直接与其中?#24230;?#30340;第三方库交互可能导致敏感数据泄露窃取监控2017年针对公民个人敏感数据泄露的新闻此起彼伏11月份爆出趣店百万学生数据遭泄露事件包括学生借款金额滞纳金等金融数据以及学生?#25913;?#30005;话?#20449;?#26379;友电话学信网账号密码等隐私信息均被泄露

              9. 动态注册广播暴露风险

              Android可以在配置文件中声明一个receiver或者动态注册一个receiver来接收广播信息攻击者假冒APP构造广播发送给被攻击的receiver使被攻击的APP执行某些敏?#34892;?#20026;或者返回敏?#34892;?#24687;等如果receiver接收到有害的数据或者命令时可能泄露数据或者导致拒绝服务等会造成用户的信息泄漏甚至是财产损失

              10. 业务逻辑漏洞

              安全专家认为业务逻辑漏洞可能使得用户面对验证码或密码被暴力?#24179;?/a>受到重放攻击受到大量垃圾短信甚至敏?#34892;?#24687;(如密码或信用卡数据)被公开等种种威?#30149;?017年3月摩拜单车APP业务逻辑漏洞充一元钱竟然返现110有网友利用此漏洞进行多次充值共充值车费1500元实际仅支付15元钱2017年OfO小?#39057;?#36710;客户端因忽略了该类型漏洞导致在共享单车“红包大战”中日亏损千万的后果

              此外移动应用的开发涉及许多第三方SDK包括支付统计广告社交推送地图等除了以上十大高危安全漏洞问题2017年移动应用第三方SDK安全漏洞对用户影响?#27573;?#21516;样巨大

              SDK漏洞一旦被利用攻击者就能利用SDK本身的功能发动恶意攻击例如在用户毫无察觉的情况下打开相机拍照通过发?#25237;?#20449;盗取双因子?#29616;?#20196;牌或将设备变成僵尸网络一部分

              随着各种系统漏洞的不断披露加上Android系统碎片化严重移动应用漏洞安全问题还将进一步加深演化移动应用十大高危漏洞的公布希望引起用户及移动互联网企业对移动应用漏洞的关注与重视

              上一篇三个必须实施的关于减少安全漏洞的数据安全措施
              下一篇六大常见的云安全误区
              相关文章
              图文推荐

              关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip?#38469;?#22521;训 | 举报?#34892;?/a>

              版权所有: 红黑联盟--致力于做实用的IT?#38469;?#23398;习网站

              ٷͧü
              <dl id="opymh"></dl>

              <div id="opymh"></div>
                  <div id="opymh"><tr id="opymh"></tr></div>

                    <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                    <em id="opymh"></em>

                    <em id="opymh"><ol id="opymh"></ol></em>

                          <dl id="opymh"></dl>

                          <div id="opymh"></div>
                              <div id="opymh"><tr id="opymh"></tr></div>

                                <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                                <em id="opymh"></em>

                                <em id="opymh"><ol id="opymh"></ol></em>