岁末盘点：通付盾移动安全实验室公布2017移动应用十大高危漏洞

本篇文章2797字，读完约7分钟

从1月份安卓银行木马攻击的大浪潮到3.15派对公民信息披露的披露；从5月份开始，“勒索软件崇拜者”的变种入侵了手机领域，11月份，手机变成了一个采矿机器；2017年，移动互联网安全事件不断上升，黑客攻击不断演变，引发了一系列新的安全威胁和挑战。

面对不断升级的安全威胁，越来越多的移动应用开发企业意识到，保护移动应用的安全不能仅仅依靠移动安全厂商，还要关注移动应用自身的安全漏洞。

为了让移动应用开发者和移动互联网公司更好地了解移动应用漏洞的安全问题，同福敦移动安全实验室基于全渠道应用监控平台，对2017年移动应用漏洞数据进行了总结和分析，并针对用户、开发者和企业发布了以下数据结论。参考:

2017年，全网移动应用总数为560万+(版本重复但未累计)，比2016年增长4.30%。其中，850，000多个高风险漏洞应用程序包含840多万个高风险漏洞，每个移动应用程序平均至少包含1.5个高风险漏洞。

▲数据源:同福墩移动安全实验室全通道应用监控平台

同福盾移动安全实验室的安全性基于全渠道应用监控平台，分析对用户危害极大的安全漏洞，给出2017年移动应用十大高风险漏洞(按严重程度排序):

2017年十大移动应用高风险漏洞

1.webview远程代码执行漏洞

通福顿移动安全实验室的安全专家指出，所有android api level 16及以前的版本都存在远程代码执行安全漏洞，许多流行的android应用都暴露出高风险挂马漏洞:当点击好友社区圈的消息或网站时，用户的手机会自动执行挂马的代码指令，导致安装恶意扣款软件、向好友发送欺诈短信、地址簿和短信被盗、远程控制等严重后果。微信、qq、快播、百度浏览器等一大批顶级应用都受到不同程度的影响。

2.接口劫持漏洞

据安全专家称，此类漏洞会导致用户的关键信息(如账号、密码和银行卡)被窃取。用户可能会在不知情的情况下将其帐号和密码信息输入网络钓鱼界面，恶意程序会将这些数据返回给服务器，以完成网络钓鱼攻击。2017年11月，android mediaprojection函数服务中存在一个此类漏洞，该漏洞允许恶意程序在用户不知情的情况下捕获用户的屏幕内容并录制音频。超过78%的安卓设备受到该漏洞的影响。

3.权威的脆弱性

安全专家建议，此类漏洞会导致攻击者恶意读取文件内容、获取敏感信息并破坏完整性；或者在清单文件中调用一些敏感的用户权限，导致用户隐私数据泄露、钓鱼演绎等。从2017年10月30日至2017年11月5日，国家互联网应急中心通过独立监控和样本交换发现73个恶意程序变种窃取用户个人信息，并使29，243名用户感染此类漏洞，对用户信息安全构成严重安全威胁。

4.篡改和二次包装漏洞

这种类型的漏洞包括:向客户端程序添加或修改代码、修改客户端资源图片、配置信息和图标、添加广告、促销产品，然后生成新的客户端程序，导致大量盗版应用程序的出现，这将吞噬开发者的收入；此外，带有恶意代码的恶意二次打包还可能实现应用钓鱼，导致登录账户密码和支付密码被盗、短信验证码被拦截、转账目标账号和金额被修改等。篡改后的apk二次打包不仅严重损害了开发者的版权和经济利益，也使应用用户遭受非法应用的恶意侵害。

5.sharedpref读写安全漏洞

安全专家表示，在sharedpreference文件夹中创建数据存储文件时，读写共享首选项时存在安全漏洞的移动应用程序被设置为全局可读或可写，导致任何第三方应用程序都能够读写文件，这增加了用户敏感信息泄露的风险。6月中旬，亚马逊(Amazon)和小红树(Xiaohongshu)网站的用户因这些漏洞遭遇了信息披露危机。大量个人信息泄露，导致电话诈骗急剧增加，导致一名用户被诈骗高达43万元，而小红书的50多名用户也造成80多万元的损失。

6.webview组件忽略ssl证书验证错误漏洞

根据通富盾移动安全实验室的安全专家所说，当android webview组件加载带有证书验证错误的网页时，将调用webview client . onreceived error方法。如果该方法调用handler.proceed()来忽略证书错误，它很容易受到中间人攻击，从而导致隐私泄露。根据通富盾的全渠道应用监控平台，2017年，多达17.59%的移动应用存在此类漏洞，无数用户受到影响。

7.固定端口监控风险漏洞

据同福墩移动安全实验室的安全专家介绍，目前，15.24%的手机应用程序存在固定端口监听风险漏洞，这是由于这些应用程序在打开套接字服务后继续接收数据，但缺乏对数据源和内容真实性的验证。

8.弱数据加密漏洞

根据同福墩移动安全实验室安全专家的分析，开发人员在应用程序开发过程中对敏感数据检查不够，直接与嵌入式第三方库交互，可能导致敏感数据的泄露、被盗和监控。2017年，有一个又一个关于公民敏感个人数据泄露的新闻。去年11月，娱乐商店数百万学生的数据被泄露，包括学生贷款金额、滞纳金等财务数据，以及家长电话号码、男女朋友电话号码、Xuexin.com账户密码等私人信息。

9.广播暴露风险的动态注册

安卓可以在配置文件中声明一个接收器，或者动态注册一个接收器来接收广播信息。攻击者伪造应用程序来构建广播并将其发送给被攻击的接收者，这使得被攻击的应用程序执行一些敏感行为或返回敏感信息。如果接收方收到有害数据或命令，可能会泄露数据或导致拒绝服务，从而导致信息泄露甚至用户财产损失。

10.业务逻辑漏洞

据通福盾移动安全实验室的安全专家称，业务逻辑漏洞可能会使用户面临暴力破解验证码或密码、重放攻击、大量垃圾邮件，甚至泄露敏感信息(如密码或信用卡数据)等威胁。2017年3月，mobike应用的商业逻辑有缺陷，收取1元后，110元被退回。一些网民利用这个漏洞多次充值，总充值金额为1500元，但实际只支付了15元钱。在2017年，ofo黄晓自行车客户忽视了这种类型的漏洞，导致每天损失数千万的“红包大战”的共享自行车。

此外，移动应用的开发涉及许多第三方软件开发工具包，包括支付、统计、广告、社交互动、推送、地图等。除上述十大高风险安全漏洞外，2017年移动应用第三方软件开发工具包的安全漏洞也将对用户产生巨大影响。

一旦sdk漏洞被利用，攻击者就可以利用sdk自身的功能发起恶意攻击，例如在用户没有注意到的情况下打开摄像头拍照，通过发送短信窃取双因素身份验证令牌，或将设备变成僵尸网络的一部分。

随着各种系统漏洞的不断暴露和android系统的严重碎片化，移动应用漏洞的安全问题将进一步深化和演变。移动应用十大高风险漏洞的发布，希望引起用户和移动互联网企业对移动应用漏洞的关注和重视。

通福顿移动安全实验室长期以来一直关注移动应用安全，并准备与用户、制造商和开发人员共同努力解决移动安全漏洞。

来源：央视线