漏洞是在硬体、软体、协定的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。
APP漏洞是APP存在的漏洞,是指APP开发者在逻辑设计上的缺陷或在编写时产生的错误,这些漏洞能轻易的被他人植入恶意代码或手机病毒,造成损失。
基本介绍
- 中文名:APP漏洞
- 类型:漏洞
- 隶属:APP
- 原因:系统原因等
原因
1.系统原因
APP漏洞的安全问题,主要集中在android系统方面,能被黑客攻击的安全问题也主要集中在android系统上,ios系统安全性相对较强。安卓系统本身就存在漏洞,比如openSSL漏洞、Pileup漏洞、耗电等层出不穷的漏洞,再加上安卓系统的开源性,在带给开发者灵活性的同时,也给某些黑客带来可乘之机。
2.开发者编写程式有bug
一方面由于APP开发工程师经验不够,对安全了解甚少,同时在代码书写上存在严重的逻辑漏洞、不规範等行为,导致写出来的代码很容易被黑客攻击或者二次打包,这些行为也给黑客留了许多机会。另一方面开发者都把主要的目光集中在App开发和运营上,没有时间去研究防止黑客攻击或者二次打包的方法,在安全上面存在漏洞。
3.手机厂商的多样性,导致了安卓系统存在各个手机品牌中,还有一部分手机厂商对安卓系统修改的面目全非等多种问题,导致安卓系统的安全问题无法避免。
防护
第一,导致用户隐私泄露。黑客利用App漏洞,植入恶意代码或手机病毒,窃取用户隐私的行为极为常见。在与本身功能毫不相干的情况下,获取智慧型手机用户的简讯记录、通话记录、通讯录等敏感个人信息。这些抓取行为并非相关移动App为用户提供的套用服务功能所必需,而是由于App感染病毒所致,并且大多数普通用户对此并不知情。
第二,导致用户财产损失。支付类App越来越受到用户的青睐,但这类App漏洞往往会给用户带来严重的财产损失。黑客通过破解支付类App,替换支付连结,诱导用户向私人账户付费,或者直接窃取App账号密码,盗取资金,严重损害开发者及用户利益。
第三,导致山寨盗版横行。国家网际网路应急中心曾对国内安卓平台超过300家非官方套用商店进行恶意程式抽检,结果显示,几乎所有的套用商店都包含有山寨恶意套用。
面对如此严峻的App安全形势,开发者可分配专门的时间和资金研究App加固技术,保证运营安全,必要的时候也可寻求专业的第三方加密平台提供帮助。可通过第三方的爱加密技术加强对App的加固保护,防止反编译、二次打包等恶意行为,来捍卫自己的劳动成果,及时补救App漏洞。
检测
目前关于APP漏洞检测有以下6种功能检测,可以通过爱内测等工具进行APP漏洞检测:
组件安全检测
对四大组件和WebView的规範使用检测分析,发现因为程式中不规範使用导致的组件漏洞。
代码安全检测
对dex和so库以及第三方载入库的代码的安全处理进行检测分析,发现代码被反编译和破解的漏洞。
记忆体安全检测
检测APP运行过程中的记忆体处理和保护机制进行检测分析,发现是否存在被修改和破坏的漏洞风险。
数据安全检测
对数据传输、载入、存储、会话等过程进行漏洞检测,发现数据存储和处理过程中被非法调用、传输和窃取漏洞。
业务安全检测
对用户登录,密码管理,支付安全,身份认证等进行检测分析,发现业务处理过程中的潜在漏洞。
套用管理检测
对APP的下载,卸载,升级等进行检测,发现APP在更新或升级时候存在劫持、欺骗等漏洞。