应用|2020年第三季度《全国移动App 风险监测评估报告》( 三 )
经测试 , 修改手机号的步骤为先验证原手机再设置新手机号 , 抓取第一步验证当前手机号的数据包 。
文章图片
拦截第一步验证码请求的返回数据包并篡改为表示验证正确的状态码 。
文章图片
App界面绕过验证码验证跳转到绑定新手机的界面:
文章图片
文章图片
(三)传输过程中的数据被明文传输
经检测 , 发现部分App与服务器进行交互的过程中 , 传输较为敏感的信息 , 如登录、注册、支付、找回密码、重置密码等 , 如果客户端没有对本地链接SSL证书信息的校验 , 即使使用了HTTPS的加密协议 , 也不可避免的被抓包分析 , 从而威胁业务层面的安全 。 详情如下:
越狱手机中开启SSL Kill Switch 2插件:
文章图片
使用Fiddler对该APP的网络接口进行抓包 。
文章图片
六、第三季度App风险监测评估总结
(一)重视App漏洞危害 , 提高风险防范意识
从App漏洞监测数据来看 , 已监测的App中有95%以上存在高危漏洞 , 都有不同程度的损害用户行为 。 在2020年上半年观察到的攻击中 , 80%攻击使用2017年及更早时间报告和注册的“旧漏洞” , 超过20%的攻击使用至少7年的高龄漏洞;而排名最高的“Janus漏洞”可以让攻击者绕过安卓系统的signature scheme V1签名机制 , 直接对APP进行篡改 。 由于安卓系统的其他安全机制也是建立在签名和校验基础之上 , 该漏洞相当于绕过了安卓系统的整个安全机制 。 攻击者可以在正常应用中植入恶意代码 , 替代原有的APP做下载、更新 。 安装这些仿冒APP后 , 攻击者可以窃取用户的账号、密码等敏感信息;或者植入木马病毒 , 导致手机被ROOT , 甚至被远程操控 。
(二)各方越来越关注个人隐私保护 , 作为App运营企业要自律
App个人信息安全保护不仅是监管部门的任务 , 它涉及多个主体 , 需要政府部门、App企业、SDK企业、手机企业、应用商店企业、行业组织、研究机构共同努力 , 形成个人信息保护的良好生态和强大合力 。 与此同时 , 作为App开发和运营企业要做好自律 , 企业是维护网络安全的主体 , 为实现一些功能 , 在收集个人信息收集时要做好平衡、把握好度 , 在相关功能实现后 , 企业应当将如何保护个人信息作为核心竞争力 。
近阶段 , 因疫情等因素导致App大量增多 , 同时App在使用时产生的问题也逐渐增加 , 作为App的运营者 , 应该要以身作则 , 明确自己的原则 , 注重App在运行过程中的维护以及后期的升级 , 其次 , 在提高运营人员的安全意识的同时 , 还要建立相关的 安全机制 , 做好App安全防御措施 ,及时修补安全漏洞 , 防治App因漏洞的问题被恶意程序感染 。
(三)网络安全离不开安全技术和产业的支撑
没有网络安全就没有国家安全, 就没有经济社会稳定运行 , 广大人民群众利益也难以得到保障 。 当前 , 各种形式的网络攻击、不法入侵、恶意代码、安全漏洞层出不穷 , 对关键信息基础设施安全、数据安全、个人信息安全构成严重威胁 。 网络安全的本质是技术对抗 , 保障网络安全离不开网络安全技术和产业的有力支撑 。
移动互联网系统与应用安全国家工程实验室
中国信息通信研究院安全研究所
北京智游网安科技有限公司
2020年09月30日
推荐阅读
![[电池]最伤手机的充电方式,严重影响电池寿命,你中招了吗?](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/upload/2020/1fd9f2cf9a7f4fc1d5113622f942d2f6.jpg)
- 教育|2020年央广网教育峰会:谢龙
- 考试|分析:从2020年税务师考试情况预测2021考试方向
- 消防|梁平区举行2020年度微型消防站岗位练兵比武竞赛
- 成本|2020年全球生活成本排行榜出炉,英国城市无一进前十?英国大学:你确定吗?
- 鹏城|5G应用将带来十几万亿经济增长 AI强引擎助力深圳更加“智慧”
- 闽南网|2020年11月全国疫情中高风险地区查询 最新名单更新
- 商业|11天4982亿 2020年天猫双11收官
- 全球|?天猫:2020年双11全球狂欢季总成交4982亿元
- 鹏城|5G应用将带来十几万亿经济增长,AI让深圳城市建设更智慧
- 应用|微软承认Win10存储密码混乱Bug