一份报告显示,近97%的android app存在安全漏洞,平均每个app有40个漏洞,其中安全类app问题最严重,高危漏洞集中在SQL注入和WebView。游戏类app相对较安全。拒绝服务攻击是动态扫描的主要发现。开发者安全意识不足和Android系统0day漏洞是主要原因。建议开发者使用安全扫描工具并遵循安全编码规范。
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。
本报告选取11类android app中同等数量的热门app,其活跃用户量可覆盖83%的移动端网民,根据阿里巴巴移动安全中心对这些app的漏洞检测,得到以下结论:
参与检测的android app中,近97%的app都存在漏洞问题,且平均漏洞量高达40个。
安全类app漏洞问题最多,其漏洞总量499个,占所有类别app漏洞总量的21%。
新闻、旅游类app相对最不安全,其各自漏洞总量约240个,且其中高危漏洞量占比30%。
游戏类app相对最安全,漏洞总量约57个,且其中高危漏洞占比约2%。
从测试结果来看,android app的安全问题不容乐观,漏洞的存在尤其是高危漏洞,会对app开发者甚至用户带来较大影响,如何提前发现潜在风险、保护开发者和用户的利益是阿里巴巴移动安全团队一直坚持的责任。
第一章 Android APP漏洞现状
为了解android app的总体现状,报告中将app归纳为11个类别:健康、娱乐、安全、教育、新闻、旅游、游戏、社交、购物、金融、阅读。选取11类app中等量热门app,并使用阿里巴巴聚安全的漏洞扫描产品进行静态和动态检测,扫描结果如下:
从漏洞类别来看,android app漏洞中排在首位的是sql注入类漏洞,占比38.2%,其次是webview漏洞,占比35.4%,见左图。
从漏洞风险级别来看,android app中高危漏洞占20.7%,低危漏洞占79.3%,其中高危漏洞主要集中在webview系列和https证书未校验上。
本报告选取11类android app中同等数量的热门app,其活跃用户量可覆盖83%的移动端网民,根据阿里巴巴移动安全中心对这些app的漏洞检测,得到以下结论:
参与检测的android app中,近97%的app都存在漏洞问题,且平均漏洞量高达40个。
安全类app漏洞问题最多,其漏洞总量499个,占所有类别app漏洞总量的21%。
新闻、旅游类app相对最不安全,其各自漏洞总量约240个,且其中高危漏洞量占比30%。
游戏类app相对最安全,漏洞总量约57个,且其中高危漏洞占比约2%。
从测试结果来看,android app的安全问题不容乐观,漏洞的存在尤其是高危漏洞,会对app开发者甚至用户带来较大影响,如何提前发现潜在风险、保护开发者和用户的利益是阿里巴巴移动安全团队一直坚持的责任。
第一章 Android APP漏洞现状
为了解android app的总体现状,报告中将app归纳为11个类别:健康、娱乐、安全、教育、新闻、旅游、游戏、社交、购物、金融、阅读。选取11类app中等量热门app,并使用阿里巴巴聚安全的漏洞扫描产品进行静态和动态检测,扫描结果如下:
从漏洞类别来看,android app漏洞中排在首位的是sql注入类漏洞,占比38.2%,其次是webview漏洞,占比35.4%,见左图。
从漏洞风险级别来看,android app中高危漏洞占20.7%,低危漏洞占79.3%,其中高危漏洞主要集中在webview系列和https证书未校验上。
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
