文章目錄
評估思路 移動APP面臨的威脅
風起云涌的高科技時代,隨著智能手機和iPad等移動終端設備的普及,人們逐漸習慣了使用應用客戶端上網的方式,而智能終端的普及不僅推動了移動互聯網的發展����,也帶來了移動應用的爆炸式增長���。在海量的應用中app安全性測試點��,APP可能會面臨如下威脅:
新技術新業務移動APP評估思路
在這次的移動APP安全測試實例中,工作小組主要通過如下7個方向app安全性測試點,進行移動終端APP安全評估:
運營商自動化APP測評思路
運營商自主開發的自動化APP安全檢測工具����,通過”地����、集����、省”三級機構協作的方式,來完成移動終端APP安全檢測與評估。APP測試思路如下:
安全檢測要點 漏洞
.xml文件中屬性值被設置為true���。當標志為true時,用戶可通過adb 來進行對應用數據的備份��,在無root的情況下可以導出應用中存儲的所有數據�,造成用戶數據的嚴重泄露�����。
整改建議
將參數:屬性設置為false�,不能對應用數據備份。
漏洞
應用中存在漏洞,沒有對注冊JAVA類的方法調用進行限制�,導致攻擊者可以利用反射機制調用未注冊的其他任何JAVA類�,最終導致代碼對設備進行任意攻擊��。
整改建議
通過在Java的遠程方法上面聲明一個@ 來代替ce����;
在使用的時候����,需要對每個傳入的參數進行驗證,屏蔽攻擊代碼;
Note :控制相關權限或者盡可能不要使用 的 。
關鍵數據明文傳輸
應用程序在登錄過程中���,使用http協議明文傳輸用戶名和密碼,并未對用戶名和密碼進行加密處理。通過監控網絡數據就可以截獲到用戶名和用戶密碼數據�,導致用戶信息泄露�,給用戶帶來安全風險���。
整改建議
在傳輸敏感信息時應對敏感信息進行加密處理�。
任意賬號注冊
使用手機號133*****887注冊某個APP,獲取驗證碼46908����;
在確認提交時����,攔截請求���,修改注冊的手機號碼���,即可注冊任意賬號��,這里修改為1338*****678(任意手機號);
分別使用133*****887和133*****678(任意手機號)登錄��,均可以通過驗證登錄����,看到最終結果。
整改建議
注冊過程最后的確認提交時�,服務器應驗證提交的賬號是否是下發驗證碼的手機號�。
登錄界面可被釣魚劫持
應用存在釣魚劫持風險�����。應用程序沒有做防釣魚劫持措施���,通過劫持應用程序的登錄界面��,可以獲取用戶的賬號和密碼,可能導致用戶賬號信息的泄露���。
整改建議:
應用程序自身通過獲取棧頂,判斷系統當前運行的程序���,一旦發現應用切換(可能被劫持),給予用戶提示以防范釣魚程序的欺詐���。
獲取棧頂(如下圖),當涉及敏感(登錄���、交易等)切換時,判斷當前是否仍留在原程序���,若不是則通過Toast給予用戶提示����。
使用HTML5架構或+HTML5混合開發,實現登陸����、支付等關鍵頁面��,降低被劫持的風險�。
有爭議的整改建議
在實施整改過程中���,運營商���、APP廠商及安全廠商之間就如下幾點存在爭議:
關鍵數據明文傳輸
根據客戶測評結果以及移動終端APP廠商理解��,目前的數據安全問題可為:
而關鍵數據明文傳輸屬于客戶端數據錄入安全�����,針對此部分,目前不僅是移動終端APP��,包括Web安全方面�,對此部分要求也是不一而分,具體可以體現為:
當然也有廠商提出���,明文傳輸在某些專業的漏洞檢測和通報的網站上,是不屬于安全漏洞的�����,為了驗證此異議��,在某平臺上提交了一份關于明文傳輸的漏洞�����,得到的結果請看下圖:
登錄界面釣魚劫持
APP應用存在釣魚劫持風險���。應用程序沒有做防釣魚劫持措施��,通過劫持應用程序的登錄界面����,可以獲取用戶的賬號和密碼��,可能導致用戶賬號信息的泄露�。
這一條檢測結果�,最大的爭議在于按照整改建議整改以后,對一般用戶來說,沒有任何作用���。首先,我們了解一下釣魚劫持如何產生。
釣魚原理
需要理解,啟動一個時,是這樣設計的�����,給加入一個標志位SK����,就能使它置于棧頂并立馬呈現給用戶。但是這樣的設計卻有一個缺陷。如果這個是用于盜號的偽裝呢�?這種現象在事件中���,已經被證實是可以實現的��。
在系統當中,程序可以枚舉當前運行的進程而不需要聲明其他權限,這樣的話�����,就可以編寫一個程序����,啟動一個后臺的服務��,這個服務不斷地掃描當前運行的進程���,當發現目標進程啟動時���,就啟動一個偽裝的��。如果這個是登錄界面,那么就可以從中獲取用戶的賬號密碼�����,具體的過程如下圖:
檢測原理描述清楚以后,就需要給出讓軟件廠商能夠明白的整改建議以及漏洞情景重現��。
釣魚情景演示
以小米手機為例:
1.當打開3個APP時�����,最后一個打開的APP”語音助手”��,切換至手機桌面,長按HOME鍵查看進程,”語音助手”會顯示在進程的第一個�。
2.點擊”微信”以后����,切換至”微信”����,再查看進程,可以看到,進程中由于”微信”已切換至當前窗口���,故進程中不存在���。
3.可以從第1步看到����,當切換至手機桌面時,無論是語音助手���、手機令牌、還是微信�����,都是默認后臺運行����,而且切換出來以后無任何提示。這樣�,當惡意收到微信登錄界面或者其他敏感界面的時候��,就會搶先推送至客戶,從而讓客戶輕易的輸入了帳號��,并獲取了客戶的信息���,但此時微信不會做任何提示�。
4.再來觀看一下某行手機APP,當切換至手機桌面時����,會對客戶做出提示���。如下圖:
假設一下頁面是惡意推送的��,那么在惡意推送的APP頁面,應該會顯示出此類提示���,告知客戶��,此頁面并非正常APP的頁面��。
用戶打開正常頁面 vs 用戶打開了惡意頁面
總結
從工信部《新技術新業務信息安全評估管理辦法(試行)》(工信部保〔2012〕117號)及運營商的相關文件規定,以及綠盟科技實施的移動APP安全測試項目來看����,移動APP安全測試在運營商的重要地位����。
本文通過對一次移動APP安全測試及評估的實際案例����,希望能夠對安全從業者在移動終端APP評估方面,也歡迎大家在QQ群里參與這方面的討論����。
