阿里巴巴发布《2015移动安全漏洞年报》

第一章 2015年应用漏洞

1.1 业界公开的应用漏洞类型和分布

2015是不平凡的一年，各界媒体对移动应用的漏洞关注度也越来越高，漏洞的产生不仅带来用户设备与信息的安全影响，也给企业带来业务或声誉上的损失。

阿里聚安全每周对国内外50家著名安全公司、媒体、漏洞平台的态势进行分析，国内外移动安全事件和资讯的关注依然是围绕操作系统和移动应用的技术风险展开，其中国内更加关注移动应用的漏洞风险。以下数据结论来自于阿里聚安全对业界风险态势的统计。

1. 行业分布

根据公开的漏洞数据统计，产生漏洞的应用所占行业比例与用户设备中安装的比例相似，应用工具类APP所产生的漏洞占比最高，达54%；游戏类应用漏洞占比最低，为2%，原因是大部分用户手机中安装的游戏应用较少，且游戏类应用更新迭代速度快、漏洞不易被深入挖掘。

图1 2015年公开应用漏洞的行业分布

2. 漏洞类型

移动应用是连接用户与业务的桥梁，在智能设备中与用户直接交互，并通过通信链路传输业务请求到后端服务器。安全研究者从移动应用为入口，对应用进行漏洞挖掘及业务安全分析，数据显示大部分高风险漏洞爆发在服务端环节。

在2015年公开的漏洞数据中，71%的漏洞集中在移动业务网关、服务器端，攻击者把移动应用作为入口进行分析，而漏洞产生及修复需要在服务器端完成。现阶段大量业务从传统的PC端扩展到移动端，在服务器上运行业务逻辑也是较为安全和低成本的实现方式，也印证了以上数据。但正因为业务逻辑是在服务端处理，如果不对作为入口的客户端进行强有效的安全校验，客户端很容易被黑客作为突破口，用于挖掘服务端的业务风险漏洞。阿里聚安全的安全组件提供移动应用访问网络的加签、加密功能，可以从攻击行为上避免被黑客篡改数据包、挖掘服务端的漏洞。

移动应用本身引起的漏洞占总比25%，其中应用的拒绝服务漏洞占客户端漏洞的四分之一。从漏洞详情来看，代码执行漏洞相比去年单一的Webview远程命令执行有了更多的诠释，如代码中预留的指令被执行。诸如以上的逻辑类漏洞，往往需要在特定的业务场景中考虑被绕过及攻击的风险。在软件开发生命周期中融入安全流程，是规避此类漏洞的最佳方式。在代码实现功能前，通过安全评审确保业务逻辑不会被绕过、确保用户数据流向的准确性和安全性。

图2 2015年应用漏洞类型分布

1.2 移动应用漏洞分析

为分析移动应用各行业的漏洞情况，我们在第三方应用市场分别下载了18个行业 的Top10应用共计180个，使用阿里聚安全漏洞扫描引擎对这批样本进行漏洞扫描。18个行业的Top10应用中，97%的应用都有漏洞，总漏洞量15159个，平均每个应用有87个漏洞，且23%的Top10应用都有高风险漏洞。

1. 18个行业Top10应用的漏洞

Webview远程代码执行漏洞量占比最高，达21%，Webview远程代码执行漏洞引起的主要原因是调用了Webview的addJavaScriptInterface方法，该方法的安全风险只在安卓API 17及更高版本中才被Google修复。由于API 17以下的机型在市场上仍占20%，故很多开发者为了兼容性还将Android应用支持的最小版本设置在API 17以下，导致该漏洞量一直不降反升。

图3行业Top10应用的漏洞数量

行业Top10 Android应用的15159个风险漏洞中，23%属于高危漏洞、64%属于中危漏洞，低危漏洞仅占13%。

图4 Top10 Android应用漏洞的风险分布

在所有漏洞中26%是触及了安全红线，触及红线的漏洞 容易被攻击者利用，阿里聚安全建议开发者尽快修复以免影响移动业务的安全。

高危漏洞、中危漏洞、低危漏洞中，触及红线漏洞的占比依次为17%、16%、88%。低危漏洞中触及红线的漏洞占比最大，如拒绝服务漏洞，被利用后会造成应用拒绝服务，但其修复成本低，建议开发者尽快扫描验证并修复。

图5 Top10触及安全红线的漏洞情况

2. 重点行业漏洞分析

18个行业中，旅游类应用的漏洞量最多，占所有行业总漏洞量的13%，电商、游戏、金融等与用户财产息息相关的行业，漏洞数量相对少一些，分别占所有行业总漏洞量的6%、5%、和4%。

金融类Top10 Android应用虽然漏洞总量排名靠后，但其高危漏洞量占比高达34%，位居行业内第一，值得重视。