随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”。我们一起来看几个典型案例:
100款App违法采集被下架
2019年,公安机关开展App违法采集个人信息集中整治,查处整改了100款违法违规App及其运营的互联网企业,包括100款APP被下架。
生物识别绕过
指纹传感器和FaceID吹捧提供了最佳的移动安全性,但2019年出现技术绕过。三星GalaxyS10指纹传感器,黑客从酒杯中复制了3D打印指纹。研究人员绕过了苹果FaceID(面部识别登录系统)。
奔驰App被爆安全漏洞,可看到他人信息
奔驰车主,在10月18日的时候,移动App上出现了不是自己的汽车的信息,其中所记录的信息非常详细,汽车的序号、车主姓名、联系方式、位置更新信息等,可以窥探到其它奔驰车主的生活。
超百家中国网贷App泄漏逾百万用户资料
网上有一个容量高达889GB的“巨型数据库”,其中内含超460万网贷App用户数据,包括用户个人联系方式、财务信息、用户联系人列表、短信记录、实时位置等。这个资料库位于阿里云且并未经过加密。
拼多多系统漏洞被薅羊毛损失千万
1月20日,拼多多被传出现重大BUG,用户可领100元无门槛券。使用该优惠券后,充值百元话费可实现用0.46元充值100元话费,通过新账号的方式无限制领券。
2019苹果漏洞激增
iOS漏洞在整个2019年都有出现,包括“AirDoS”漏洞,该漏洞能够让附近的黑客可以通过文件交换功能AirDrop,使iPhone和iPad无法使用。在6月,发现一个iMessage漏洞,使运行旧版本iOS的iPhone运行速度变慢。其他5个iMessage漏洞,其中一个漏洞允许远程攻击者访问iOS设备上存储的内容。
聚焦5G
由于5G的许多安全协议和算法都是从以前的4G标准移植而来,研究人员已经发现了5G的缺陷,允许设备指纹识别和中间人攻击。
移动安全还有哪些风险呢,这里给大家做了一个归类:
下图是移动应用恶意行为TOP10,我们看到位居前三的一个是恶意扣费,它占到了30%,还是比较高的。
再就是山寨应用,什么是山寨应用呢?黑客或其他人将正版软件恶意破解后进行重新打包,加入一些新的东西,然后再重新发布。山寨应用首先导致了开发方的知识产权受到侵害,另一方面,用户在使用的过程中,里面可能会有一些恶意程序,也给用户带来了一定的风险,并且山寨应用在责任划分上也是由开发方来承担责任的,也就是说我们要确保自己的应用不被山寨。
位居第三的是静默下载,在后台偷偷下载安装恶意应用,实现多种方式攻击。
接下来我们一起来看一下,OWASP发布的OWASP Mobile TOP 10,位居第一的是平台使用不当,比如说平台里的一些配置、一些其他功能使用不当。不安全的授权,像一些非法授权、不正当的授权。不安全的数据存储,明文存储,特别是一些重要数据和敏感数据。客户端的代码质量问题、不安全的通信、代码篡改、不安全的身份验证、逆向工程、加密不足和无关功能。
OWASP是一个公益性的组织,每三年也会发布一次应用的TOP10漏洞。