近年来,随着智能手机的普及,APP数量增长也是呈现出几何式的增长,同样APP风险各类事件也呈现出爆炸式的增长,各种漏洞消息此消彼长,漏洞类型层出不穷。而由于谷歌Android系统开源架构特性,安卓移动应用早已成为APP风险重灾区。
目前的APP风险主要有服务端漏洞和客户端漏洞两种,在服务端漏洞方面主要有各种API接口引发的传统WEB漏洞和利用无限制,直接攻击服务端 ;在客户端漏洞方面则有各种本地APP漏洞 ,利用可能需要交互或者借助安装插入恶意APP。这些漏洞已经深深危害了APP开发商和开发者利益,漏洞不仅呈现出类型多,数量也多得吓人。
近日,NAGAIN娜迦信息在移动安全极客沙龙上分享了安卓APP安全漏洞的自动化挖掘的最新研究报告。报告显示Android APP的漏洞类型与数量繁多,诸如SQL注入、webview系列漏洞、文件模式配置错误、HTTPS不校验证书、拒绝服务攻击等。针对这些乱象,NAGAIN娜迦信息(www.nagain.com)经过几年摸索和研究后,不断完善APP漏洞的自动化挖掘技术,并在APP漏洞的自动化挖掘方面获得了众多成就。
据调查数据显示,绝大多数APP都存在着安全漏洞,这可能会导致它们在未来感染严重的恶意病毒。根据惠普对来自600多家福布斯全球2000强企业的2100多个移动应用的调查分析,显示90%的应用都有潜在漏洞,最常见的安全漏洞包括二次打包、后门注入风险、未加密数据储存以及使用不安全的协议来传输数据等,这些漏洞不仅对开发者的利益和名誉构成威胁,同时也会对用户的利益造成严重危害。
NAGAIN娜迦信息在2013年提出APP漏洞挖掘测试点规范化模板,在次年3月完成了漏洞挖掘辅助分析模块,在APP静态分析、动态监控上取得了空前的突破,之后NAGAIN娜迦信息陆续为国内多家银行提供专业化的漏洞测试服务中,积累了大量的APP漏洞挖掘经验,并结合这种经验开发、推出了全自动化的APP安全扫描产品。在未来,NAGAIN娜迦信息会继续深研APP安全漏洞的自动化挖掘技术, 打造移动安全健康生态链。