2019年安卓应用的7大漏洞类型_前端_Susan



 写点什么

Android 应用程序漏洞的影响不容忽视。

Android应用程序漏洞的影响是不容忽视的，因为 Google Play 商店使用了开放格式，而且用户可以绕开所有应用安全性监督机制自行安装应用程序。

Android 操作系统的更新和补丁也是个问题。你不能指望 Android 系统能够及时自我更新，因为除了 Google 的 Pixel 设备以外，所有设备的更新计划都是不一样的。

对众多 Android 移动应用进行的专家测试表明，大多数情况下 Android 应用程序中最常见的安全漏洞是不安全的数据存储。根据一份报告，与 iOS 相比，Android 应用程序中的漏洞和威胁更为常见。但专家们并没有放大这种差异的影响：他们认为两个平台之间应用程序的安全级别大致相当。

对移动应用程序做全面安全检查时，工作包括搜索客户端和服务端中的漏洞，并检查它们之间的数据传输。

有两个方面

客户端漏洞

60％的漏洞在客户端。
89％的漏洞无需物理访问即可利用。
56％的漏洞无需管理员权限就可以利用。

不安全的进程间通信（IPC）是一个常见的严重漏洞，攻击者可以利用它远程访问脆弱的移动应用程序中处理的数据。

Android 提供了 Intent 消息对象作为应用程序组件相互通信的一种方式。如果这些消息被广播出去，则已注册了 BroadcastReceiver 实例的恶意软件可能会危及其中的敏感数据。

开发人员应使用 LocalBroadcastManager 发送和接收和第三方应用程序无关的广播消息。

服务端漏洞

服务端组件漏洞既能存在于应用程序代码中，也可以出现在应用程序保护机制中，后者包括双因素身份验证实现中的缺陷。比如说我们的专家在一个应用程序中遇到的一个漏洞：如果两个相同的请求紧接着发送到服务器，它们之间的间隔很小，那么一次性密码就（OTP）既通过推送通知发送到用户的设备，还通过短信发送到绑定的电话号码上。攻击者可以拦截短信消息并模拟合法用户发起攻击，比如偷光用户的银行存款。

如果一次性密码要发送两次，用不着分别使用通知和短信发送。我们应该使用用户选择的密码传送方式。

服务端组件平均包含五个代码漏洞和一个配置漏洞。配置缺陷包括在错误消息中泄露敏感信息、HTTP 标头中的指纹和 TRACE 可用性等。

排名前 7 位的漏洞类型

前七大漏洞列表排序不分先后。这些漏洞是通过严重性、影响力或普遍性挑选出来的，发现的这些漏洞可能会给组织带来数据丢失、泄漏私人信息或其他容易被黑客利用的问题。以下是排名前 7 位的漏洞，以及如何避免这些漏洞的解决方案：

1. 二进制安全

越狱/Root 检测失效。Root 或越狱设备会破坏系统上的数据保护和加密方案。当设备被 Root，任何形式的恶意代码都可以在该设备上运行，这可能会大大改变应用程序逻辑的预期行为。数据恢复和取证工具通常也可以在 Root 过的设备上运行。

建议：

为了安全起见，最好不要让应用程序在 Root 或越狱过的设备上运行，或者至少要进行某种形式的 Root/越狱检测。检测设备是否受到威胁的机制是一层额外的保护策略和风险缓冲，能更好地防止应用程序中的数据泄露。

2. 传输层安全性不足

应用程序经常没能在需要保护敏感通信时加密网络流量。所有需要身份验证的连接都应该加密，尤其是可从互联网访问的网页更应如此。后端连接也应加密，否则可能会使身份验证或会话令牌暴露给与应用程序主机位于同一网络上的恶意参与者。与通过外部互联网发起的连接相比，这些后端连接被利用的可能性较低。但它们一旦被利用仍然可能导致用户帐户受到损害，甚至会更糟。