以上分析数据说明android类app的安全问题并不容乐观,需要进一步探究造成漏洞的原因以及解决方案,以尽量避免漏洞的产生及弥补安全问题带来的影响。
App漏洞原因分析
Android app的漏洞类型很多,如SQL注入、webview系列漏洞、文件模式配置错误、HTTPS不校验证书、拒绝服务攻击等,造成漏洞的原因可以归结为以下两类:
1. App开发者自身的问题
a) 编码不规范
很多公司对编码规范没有要求,或app开发者没有按照编码规范来进行编码,容易导致敏感信息泄露,比如日志打印问题、在发行版本中没有关闭日志打印功能等。
b) 安全意识不够
很多android函数的参数需慎用,如常用函数openFileOutput,如果设置mode参数为Context.MODE_WORLD_READABLE或者Context.MODE_WORLD_WRITEABLE,就容易泄露android app的数据。另外,接口处理需要更加严谨,例如暴露了一个接口,允许运行用户输入的信息,若对信息未做任何处理,就容易引起拒绝服务攻击等安全问题。
2. Android上0day的发现
Android上0day的发现,可导致android app以前安全的功能变得不安全,在android系统没有补丁的情况下,需及时在android app上打补丁,但鉴于很多android app开发者对漏洞信息不敏感等原因,并未做到及时修补,从而导致漏洞的存在。总之,Android app的安全问题,很大程度上可能是开发者犯下的低级错误。较为有效的解决办是能够在代码编写过程中使用SDL编码流程,同时使用漏洞扫描产品对app进行检测,不断修补自身app的安全问题。安全无小事,所有app开发者都应重视。
总结
本次检测采用了11个类别app中同等数量的热门app,共扫描出近2500个漏洞,平均每个android app有40个安全漏洞,且约97%的测试app或多或少都存在安全漏洞。这些数据反映出android app漏洞问题的严峻性,在app市场上,很多android app都存在潜在的安全风险,一旦被利用,会给用户和开发者带来很大影响。
从漏洞检测结果来看,android app的漏洞问题不容乐观,这些问题是否可以规避?是否有自动化的漏洞扫描产品供app开发者使用?是否可以降低开发者和用户的利益受损程度? 答案是肯定的,除了加强app开发者的安全意识,在app发布之前利用 App安全工具进行漏洞扫描检测可以及早发现隐含的安全问题,保护开发者利益,保护用户利益。
3918
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
