第二届世界互联网大会正在进行中,今年大会的在线交流非常顺畅,其中就有大会的一个创新看点,大会专用APP。为了保障大会APP安全性,绿盟科技安全服务团队的重大活动保障技术专家早在11月就完成了大会APP及后端服务器的安全测试工作。 据报道,此次大会制作了专用APP,并建立了会务云系统,实现4G网络、无线wifi的全覆盖,会议服务实现全面智能化,这成为大会诸多亮点之一。
随着互联网+时代的到来,智能手机和iPad等移动终端设备越来越普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用APP的爆炸式增长。这些海量的APP可能会面临如下威胁:
移动应用APP安全测试
一般来说,绿盟科技安全服务团队在对移动APP进行安全检测时,采取的主要思路如下(以安卓APP为例)
APP安全检测要点
根据绿盟科技安全服务团队多年来执行安全检测工作的经验总结,在进行APP安全检测过程中,一些要点值得关注,包括Allowbackup漏洞、WebView漏洞、关键数据明文传输、任意账号注册、登录界面可被钓鱼劫持等,下面结合以往安全检测工作中的实例,简要介绍这些漏洞的关键点,并给出建议。
1、Allowbackup漏洞
AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为true时,用户可通过adb backup来进行对应用数据的备份,在无root的情况下可以导出应用中存储的所有数据,造成用户数据的严重泄露。
建议:将参数android:allowBackup属性设置为false,不能对应用数据备份。
2、WebView漏洞 应用中存在WebView漏洞,没有对注册JAVA类的方法调用进行限制,导致攻击者可以利用反射机制调用未注册的其他任何JAVA类,最终导致javascript代码对设备进行任意攻击。
建议:通过在Java的远程方法上面声明一个@JavascriptInterface 来代替addjavascriptInterface;在使用js2java的bridge时候,需要对每个传入的参数进行验证,屏蔽攻击代码。其中注意,控制相关权限或者尽可能不要使用js2java 的bridge。
3、关键数据明文传输
应用程序在登录过程中,使用http协议明文传输用户名和密码,并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据,导致用户信息泄露,给用户带来安全风险。
建议:在传输敏感信息时应对敏感信息进行加密处理。
4、任意账号注册
使用手机号133xxxx887注册某个APP,获取验证码46908;
在确认提交时,拦截请求,修改注册的手机号码,即可注册任意账号,这里修改为1338xxxx678(任意手机号);
分别使用133xxxx887和133xxxxx678(任意手机号)登录,均可以通过验证登录,看到最终结果。
建议:注册过程最后的确认提交时,服务器应验证提交的账号是否是下发验证码的手机号。
5、登录界面可被钓鱼劫持
应用存在钓鱼劫持风险。应用程序没有做防钓鱼劫持措施,通过劫持应用程序的登录界面,可以获取用户的账号和密码,可能导致用户账号信息的泄露。
建议:应用程序自身通过获取栈顶activity,判断系统当前运行的程序,一旦发现应用切换(可能被劫持),给予用户提示以防范钓鱼程序的欺诈。
获取栈顶activity,当涉及敏感activity(登录、交易等)切换时,判断当前是否仍留在原程序,若不是则通过Toast给予用户提示。
使用HTML5架构或android+HTML5混合开发,实现登陆、支付等关键页面,降低被劫持的风险。 这方面的更多信息请参看:《移动APP安全测试要点》
移动应用APP事件应急响应
在重大活动安保之外,绿盟科技威胁响应中心、绿盟科技安全服务团队、绿盟云组建的联合工作小组,还会持续对互联网行业中出现的相关重大事件进行跟踪分析。在今年9月爆发的XcodeGhost事件中,绿盟科技安保工作中带来的经验总结,就为移动应用APP应急响应提供了不少借鉴。
- 9月12日,国内某软件厂商在调整软件APP时,发现其在启动、退出时会通过网络向这个域名(init.icloud-analysis.com),发送异常的加密流量;
- 9月14日,CNCERT发布了这个事件的预警公告;
- 9月18日,由于事件涉及国外最大的手机厂商苹果,国内媒体及安全圈开始对事件发酵传播;
- 9月19日,绿盟科技云安全服务平台就上线了XcodeGhost分析工具、在线自主扫描服务及相关应对建议。
移动应用APP云端安全服务
正是由于这些威胁的存在,越来越多的移动应用APP安全性面临挑战。据不完全统计,仅2014年1季度,因为手机应用漏洞造成的用户损失就高达7500万元。为保证用户资产的安全性,相关单位也因此出台了很多合规性的文件和政策。
绿盟科技推出了针对移动业务的安全保护方案及云端移动应用安全服务。该服务包括移动应用检测、移动应用加固、移动应用传播渠道扫描等模块,力求为移动应用APP及其系统进行长周期、多维度的安全分析服务,通过对APP应用的需求分析、架构设计、程序编码、软件测试、运行维护等多个节点的服务,帮您进行应用安全风险的排查和合规性的测试工作,以保证您的应用在整个生命周期中良好安全性的同时符合所有文件和政策的要求。
小编注:该服务包配置仅供参考,最新信息请随时关注绿盟云官方网站:cloud.nsfocus.com
APP安全测试工作保障第二届世界互联网大会
移动应用APP安全测试、移动应用APP事件应急响应、移动应用APP云端安全服务三大体系的支持下,绿盟科技将会持续提升重大活动安保服务质量,更好的落实重大活动期间安全保障工作的指示。
在第二届世界互联网大会安保工作中,绿盟科技服务团队也正是秉承这种精神,从移动应用安全出发,保护大会专用APP的安全访问,严防力保大会数据和信息的交互,提高移动APP端大会会务云系统的安全性,并最大限度的方便用户的使用,提高用户工作效率。