漏洞是在硬體、軟體、協定的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。漏洞是指一個系統存在的弱點或缺陷,系統對特定威脅攻擊或危險事件的敏感性,或進行攻擊的威脅作用的可能性。
APP漏洞是APP存在的漏洞,是指APP開發者在邏輯設計上的缺陷或在編寫時產生的錯誤,這些漏洞能輕易的被他人植入惡意代碼或手機病毒,造成損失。
基本介紹
- 中文名:APP漏洞
- 類型:漏洞
- 隸屬:APP
- 原因:系統原因等
原因,防護,檢測,組件安全檢測,代碼安全檢測,記憶體安全檢測,數據安全檢測,業務安全檢測,套用管理檢測,
原因
1.系統原因
APP漏洞的安全問題,主要集中在android系統方面,能被黑客攻擊的安全問題也主要集中在android系統上,ios系統安全性相對較強。安卓系統本身就存在漏洞,比如openSSL漏洞、Pileup漏洞、耗電等層出不窮的漏洞,再加上安卓系統的開源性,在帶給開發者靈活性的同時,也給某些黑客帶來可乘之機。
2.開發者編寫程式有bug
一方面由於APP開發工程師經驗不夠,對安全了解甚少,同時在代碼書寫上存在嚴重的邏輯漏洞、不規範等行為,導致寫出來的代碼很容易被黑客攻擊或者二次打包,這些行為也給黑客留了許多機會。另一方面開發者都把主要的目光集中在App開發和運營上,沒有時間去研究防止黑客攻擊或者二次打包的方法,在安全上面存在漏洞。
3.手機廠商的多樣性,導致了安卓系統存在各個手機品牌中,還有一部分手機廠商對安卓系統修改的面目全非等多種問題,導致安卓系統的安全問題無法避免。
防護
第一,導致用戶隱私泄露。黑客利用App漏洞,植入惡意代碼或手機病毒,竊取用戶隱私的行為極為常見。在與本身功能毫不相干的情況下,獲取智慧型手機用戶的簡訊記錄、通話記錄、通訊錄等敏感個人信息。這些抓取行為並非相關移動App為用戶提供的套用服務功能所必需,而是由於App感染病毒所致,並且大多數普通用戶對此並不知情。
第二,導致用戶財產損失。支付類App越來越受到用戶的青睞,但這類App漏洞往往會給用戶帶來嚴重的財產損失。黑客通過破解支付類App,替換支付連結,誘導用戶向私人賬戶付費,或者直接竊取App賬號密碼,盜取資金,嚴重損害開發者及用戶利益。
第三,導致山寨盜版橫行。國家網際網路應急中心曾對國內安卓平台超過300家非官方套用商店進行惡意程式抽檢,結果顯示,幾乎所有的套用商店都包含有山寨惡意套用。
面對如此嚴峻的App安全形勢,開發者可分配專門的時間和資金研究App加固技術,保證運營安全,必要的時候也可尋求專業的第三方加密平台提供幫助。可通過第三方的愛加密技術加強對App的加固保護,防止反編譯、二次打包等惡意行為,來捍衛自己的勞動成果,及時補救App漏洞。
檢測
目前關於APP漏洞檢測有以下6種功能檢測,可以通過愛內測等工具進行APP漏洞檢測:
組件安全檢測
對四大組件和WebView的規範使用檢測分析,發現因為程式中不規範使用導致的組件漏洞。
代碼安全檢測
對dex和so庫以及第三方載入庫的代碼的安全處理進行檢測分析,發現代碼被反編譯和破解的漏洞。
記憶體安全檢測
檢測APP運行過程中的記憶體處理和保護機制進行檢測分析,發現是否存在被修改和破壞的漏洞風險。
數據安全檢測
對數據傳輸、載入、存儲、會話等過程進行漏洞檢測,發現數據存儲和處理過程中被非法調用、傳輸和竊取漏洞。
業務安全檢測
對用戶登錄,密碼管理,支付安全,身份認證等進行檢測分析,發現業務處理過程中的潛在漏洞。
套用管理檢測
對APP的下載,卸載,升級等進行檢測,發現APP在更新或升級時候存在劫持、欺騙等漏洞。
