2018年度移动应用安全报告:8万电商应用300万个漏洞
作者:星期三, 三月 27, 20190

前言

2018年是移动互联网行业技术创新,蓬勃发展的一年,依托于云计算、大数据、物联网等信息技术支撑,跨界电商、共享经济、数字支付、网络视频等新兴行业的崛起,激发了移动用户新一轮的需求升级,公开信息表明,我国人均移动用户流量消费已达6.25GB/月,移动应用俨然成为国民生活的重要组成部分。

2018年网络安全法实施已逾一年,GDPR正式生效,信息安全早已上升至国家层面,2018年度中国人民银行发布《关于开展支付安全风险专项排查工作的通知》,将金融等重点行业应用安全要求推至新的高度。

移动市场成熟发展的同时,不法分子利用应用安全漏洞,致使安全事件频发,数据泄露、勒索病毒、薅羊毛等触目惊心,黑灰产业链也向移动端用户蔓延,移动应用成为国家网络安全领域的重点对象。

一、移动应用现状

1.1 应用数量持续增加,用户增量饱和

据工信部数据显示,2018年底我国移动应用数量达449万,应用数量净增42万,其中游戏类应用以138万款的数量排行第一,生活服务类、电子商务类分别以54.2、42.1万款排名第二和第三,规模前三的应用类型总和占比整个移动应用市场规模的52%。

图1:移动应用类型分布

截止2018年11月底,我国移动互联网用户总数达13.9亿,我国手机上网用户达12.6亿,自2018下半年起维持稳定,市场用户增量基本饱和。

图2: 2018年度手机上网用户数量

1.2 应用程序漏洞大量催生,平均每个应用存在19个漏洞

大量的用户基数及与日俱增的市场规模,为不法分子及恶意攻击等行为提供了前提条件,权威数据表明,2018年度公开信息安全漏洞统计中,58%来源为应用程序漏洞,而操作系统漏洞与数据库漏洞仅占11%与1%,应用程序漏洞大量催生。

Testin云测安全实验室对2018年度扫描的573652款应用分析后共计发现漏洞10794512个,平均每个应用存在19个漏洞,仅有0.3%的应用不存在漏洞。 其中20%属于高危漏洞,39%属于中危漏洞,41%属于低危漏洞。

图3:漏洞威胁等级分布

在应用风险来源分类中,由数据安全与代码安全因素引发的漏洞占比最多,所占比重分别为30%、28%。

图4:应用风险类型分布

1.3 数据保护监管愈发严格,用户信息安全意识觉醒

2018年是信息泄露严重爆发的一年,诸如用户隐私信息在暗网公开售卖、上市公司窃取用户隐私牟利超千万、数十亿公民虹膜扫描和指纹信息外泄、新生婴儿信息非法倒卖等事件数见不鲜,信息泄露让数以亿计的用户毫无隐私可言并惶恐不安,也让不少企业深陷舆论丑闻与法律泥潭,用户信息安全保护意识开始觉醒。

堪称史上最严格个人数据保护条例GDPR(General Data Protection Regulation)的正式生效,定义了个人数据安全的监管和保护新的要求高度,企业必须将用户个人的IP地址或cookie数据等信息置于和其他机密数据(姓名、地址以及社会安全号码等)相同的保护等级。根据GDPR的要求,企业在获取用户资料时被要求使用“简明语言”,必须要说明为什么要处理数据,谁将接收到这些数据,以及这些数据将被存储多长时间;一旦企业发生数据泄露事件,将被处以4% 的全球营业额或 2000 万欧元罚款,同时在发现违规事件的72小时内,向监管当局和受到违规事件影响的个人通报数据违规行为。

而对于移动应用,可导致信息泄露的攻击面则在与日俱增,例如使用不安全的通信协议、使用不安全的加密算法、应用提交数据时未对目标域名进行校验、无断网和网络异常提示等应用程序漏洞是引发信息泄露的风险来源之一。

二、行业应用安全

2.1 金融行业信息泄露隐患严重

2018年度金融类应用数量约为14万款,较年初增幅超过20%,同时金融行业由于其业务的特殊性及敏感性,也是我国信息安全重点关注行业。

Testin云测安全实验室2018年度累计扫描金融应用36742款,共发现漏洞1102160个,平均每个金融应用存在30个漏洞,高危漏洞中出现频次排名前十的为:

  • ContentProvider Uri用户敏感信息泄露
  • 不安全Zip文件解压
  • 服务端证书弱校验
  • 客户端XML外部实体注入
  • Intent Scheme URL攻击
  • WebView远程代码执行
  • Fragment注入
  • Janus签名漏洞
  • 不安全的SharedPreference文件权限

占比最高的漏洞为“ContentProvider Uri用户敏感信息泄露”,该漏洞属于组件安全范畴,是指移动应用在使用 ContentProvider 提供对外数据访问接口时,未设置合理权限,攻击者利用此漏洞盗取账户信息及账户资金,直接危及用户和企业的安全,Testin云测安全实验室建议可通过为导出的 ContentProvider 组件设置合理的调用权限进行漏洞修复。

占比第二的为“不安全的Zip文件解压”,该漏洞属于代码安全范畴,指应用在解压文件时使用ZipEntry.getName方法。该方法返回值里面会将路径原样返回。如果ZIP文件中包含路径字符串,同时没有进行防护,继续解压缩操作,就会将解压文件创建到其他目录中,覆盖掉敏感文件。造成敏感文件篡改,恶意代码执行等威胁。

图5:金融类应用高危漏洞TOP10

2.2 电商行业恶意攻击行为凾待防御

电商类应用因涉及线上交易等业务且与用户账户资金密切相关,往往易成为黑灰产行业攻击对象,恶意刷券、虚假注册套取平台奖励等事件数见不鲜,一旦应用潜在的漏洞隐患被加以非法利用,造成的损失将难以估量。

2018年度经由Testin云测漏洞扫描引擎扫描的80796款电商应用中,共发现漏洞3071250个,其中高危漏洞 1074587个,高危漏洞所占比例最为严重,高达35%,平均每个电商应用存在38个漏洞。

其中高危漏洞中出现频率最高的为“Intent Scheme URL攻击”,该漏洞属于代码安全范畴,指恶意页面可以通过Intent Scheme URL执行基于Intent的攻击,攻击者可利用该漏洞盗取Cookie信息进而进行恶意操控,建议可通过将Intent的component/selector设置为null进行漏洞修复。

图6:电商类应用高危漏洞TOP10

2.3 生活服务类应用安全缺口不容忽视

生活服务类应用给用户生活带来便利的同时也是安全事件爆发的重灾区,恶意插件、恶意病毒窃取隐私信息、信息打包倒卖等行为频发不止,其背后的应用安全问题不容忽视。

生活服务类应用存在的漏洞数量最多,2018年度扫描的81258款应用共发现漏洞3490097个,平均每个应用存在43个漏洞,安全缺口数量远高于行业平均水平。

出现频率最高的为服务端证书弱校验,该漏洞归属于通信安全范畴,指应用使用HTTPS提交数据过程中没有对证书进行校验,黑客利用该漏洞通过伪造 HTTPS 证书,进而攻击服务器或盗取账户信息。Testin云测安全实验室建议可通过自定义SSL x509 TrustManager,重写checkServerTrusted方法,对服务端的证书进行校验进行该漏洞的修复。

图7:生活服务类应用高危漏洞TOP10

2.4 2018年移动安全事件

1、新型挖矿恶意软件HiddenMiner导致安卓手机电池耗尽

3月,趋势科技研究人员发现了一种新的Android挖矿恶意软件 HiddenMiner,它可以暗中使用受感染设备的CPU计算能力来窃取门罗币,直到设备电量耗尽为止。HiddenMiner伪装成了合法的Google Play商店应用更新程序,使用了与Google Play商店相同的图标。

2、ZipperDown漏洞影响Android和iOS两大平台

5月20日,一款名为ZipperDown的漏洞被披露,该漏洞具备通用型特性,漏洞影响大、威胁等级极高,且形态灵活,变化类型多种多样。漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用。

3、手机短信验证码漏洞

8月初,“截获短信验证码盗刷案”在网上引起人们热烈关注。手机莫名收到短信验证码,本人并未进行任何操作支付宝或银行卡的钱却被转走。这是一种新型伪基站诈骗,利用GSM劫持+短信嗅探技术,犯罪分子可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付App存在的基础漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等违法行为。

4、Android系统广播机制存在漏洞,恶意软件可绕过安全机制跟踪用户

9月初,研究人员披露Android系统的内部广播机制会暴露敏感的用户和设备信息(CVE-2018-9489),手机上安装的应用可在用户不知情或未经许可的情况下访问获取这些信息。

Android系统的内部广播机制泄露的数据包括:Wi-Fi网络名称、Wi-Fi网络BSSID,本地IP地址、DNS服务器信息和设备的MAC地址等详细信息。部分信息(如Mac地址)在Android 6版本以上无法通过这个漏洞获取,但是剩下的依然可以通过监听广播来绕过权限检查和其他防范措施。

5、英国政府会议APP被黑:多名官员信息泄露

9月30日,BBC报道英国保守党的会议APP出现安全漏洞,包括内阁大臣和高级议员在内的众多高层个人信息被泄露。英国财政大臣和前外交大臣的手机号无需密码便可查看;与会内阁成员、议员、记者和地方议员的照片及个人信息可以被随意修改;拥有最高级别安全许可的部长们都接到了骚扰电话。英国环境部长的照片还被恶搞,换成了传媒大亨默多克,邮箱地址也被改成一个假的。

6、125款受欢迎的安卓应用被用于追踪用户行为

10月24日消息,新闻聚合网站BuzzFeed News调查发现了一个庞大而复杂的数字广告骗局,125款非常受欢迎的安卓应用被诈骗者用于追踪用户行为,进而帮助骗走数亿美元的广告收益。

数以百万计下载了这些应用程序的安卓手机用户,有很大一部分人在他们使用应用时受到秘密追踪。通过复制应用中的实际用户行为,诈骗者能够产生绕过欺诈检测系统的虚假流量。

7、黑客利用银行APP漏洞非法获利2800万

12月17日,上海警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙,据警方初步查证,马某利用黑客技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月,他发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,藉此获得质押贷款,累计非法获利2800余万元。

三、趋势预测

从 Uber泄露用户隐私信息,支付给黑客“封口费”, 到Facebook和Google等行业顶级公司承认他们有安全漏洞,类似的各种头条新闻层出不穷。在2019年,企业与不法分子在移动应用安全领域的较量还会持续下去,而且愈演愈烈。

据相关信息表明,网络黑产已向移动端用户蔓延,精准诈骗、敲诈勒索、倒卖信息等行为源头之一便是用户隐私信息的泄露,黑灰产的技术手段越来越强,形式日益多样化,绝大部分面向云业务和移动应用等形态,黑产更像一抹经久不散的阴影,笼罩在通过线上营销获客的各类企业上方。

其中不乏以“薅羊毛”为生的羊毛党,首当其冲的便是电商行业,电商节庆等特殊时期更是羊毛党们的狂欢。羊毛党通常会紧盯各大平台的返利、秒杀、优惠券等活动,比普通用户更熟悉各大电商平台的规则,一旦发现可趁之机,便迅速操纵大批量账号进行倒卖优惠券、红包等谋利,甚至部分羊毛党会利用优惠券安全漏洞疯狂刷买商家商品,远超商家发货能力,进而再对商家进行勒索敲诈,黑灰产背后的巨大利益可见一斑。据相关部门发布材料表明,网络黑产犯罪已经从原始粗放的传播木马病毒、电话诈骗转化为更为先进的拖库撞库、精准诈骗,形成十分成熟的运作模式,产业链复杂、隐蔽、完整、高效,且上下游分工明确。

上游技术供应商,承担着制作木马、恶意代码、肉鸡网络、动态ip非法服务等技术工具服务,负责获取用户电脑中的信息或直接控制用户电脑;中游数据服务商、黑市交易平台,在产业链中充当数据生产者和交易服务提供者的角色,负责将用户信息处理后既可盗取财产,也可转卖获利。下游行为人利用中游的数据和平台实现直接诈骗、“薅羊毛”、流量劫持等犯罪,以盗窃、诈骗等形式将获取的数据变现。

上游(技术供应商,获取用户信息)

中游(数据服务商、黑市交易平台,盗取财产或转卖获利)

下游(行为人,盗窃、诈骗等数据变现)

面对黑灰产的虎视眈眈,企业应投入更多精力,保障核心数据财产的安全。一方面做充分的安全评估与测试,从根源上消除已知安全隐患,另一方面建立尽可能完善的保护机制,化被动防御为主动监测。

总结

在利益的驱使下,不法分子的攻击手法层出不穷,并快速更新迭代,移动应用攻击场景也随之日趋复杂。除此之外,随着云计算和大数据技术的成熟与普及,越来越多的企业和机构聚焦于移动应用中个人信息的价值,但国家为了营造更安全健康的网络环境,对相关行为的约束却已上升至法律法规层面,执法力度也在逐渐加强。

可见移动安全事业任重而道远,作为专注于移动安全领域技术研究的机构,Testin云测安全愿与国家、社会、企业与个人携手,为移动互联网安全尽一份绵薄之力。

作者:Testin云测安全实验室

 

分享:
0

相关文章

写一条评论

 

 

0条评论