移动APP安全测试.pdfVIP

移动APP安全测试

移动APP面临的威胁

风起云涌的高科技时代，随着智能手机和iPad等移动终端设备的普及，人们逐渐习惯了使

用应用客户端上网的方式，而智能终端的普及不仅推动了移动互联网的发展，也带来了移

动应用的爆炸式增长。在海量的应用中，APP可能会面临如下威胁：

新技术新业务移动APP评估思路

在这次的移动APP安全测试实例中，工作小组主要通过如下7个方向，进行移动终端

APP安全评估：

运营商自动化APP测评思路

运营商自主开发的自动化APP安全检测工具，通过”地、集、省”三级机构协作的方式，来

完成移动终端APP安全检测与评估。APP测试思路如下：

安全检测要点

Allowbackup漏洞

AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为

true时，用户可通过adbbackup来进行对应用数据的备份，在无root的情况下可以导出

应用中存储的所有数据，造成用户数据的严重泄露。

整改建议

将参数android:allowBackup属性设置为false，不能对应用数据备份。

WebView漏洞

应用中存在WebView漏洞，没有对注册JAVA类的方法调用进行限制，导致攻击者可以

利用反射机制调用未注册的其他任何JAVA类，最终导致javascript代码对设备进行任意

攻击。

整改建议

通过在Java的远程方法上面声明一个@JavascriptInterface来代替

addjavascriptInterface；

在使用js2java的bridge时候，需要对每个传入的参数进行验证，屏蔽攻击代码；

Note：控制相关权限或者尽可能不要使用js2java的bridge。

关键数据明文传输

应用程序在登录过程中，使用http协议明文传输用户名和密码，并未对用户名和密码进行

加密处理。通过监控网络数据就可以截获到用户名和用户密码数据，导致用户信息泄露，

给用户带来安全风险。

整改建议

在传输敏感信息时应对敏感信息进行加密处理。

任意账号注册

使用手机号133*****887注册某个APP，获取验证码46908；

在确认提交时，拦截请求，修改注册的手机号码，即可注册任意账号，这里修改为

1338*****678（任意手机号）；

分别使用133*****887和133*****678（任意手机号）登录，均可以通过验证登录，看到最

终结果。

整改建议

注册过程最后的确认提交时，服务器应验证提交的账号是否是下发验证码的手机号。

登录界面可被钓鱼劫持

应用存在钓鱼劫持风险。应用程序没有做防钓鱼劫持措施，通过劫持应用程序的登录界

面，可以获取用户的账号和密码，可能导致用户账号信息的泄露。

整改建议：

应用程序自身通过获取栈顶activity，判断系统当前运行的程序，一旦发现应用切换（可能

被劫持），给予用户提示以防范钓鱼程序的欺诈。

获取栈顶activity（如下图），当涉及敏感activity（登录、交易等）切换时，判断当前是

否仍留在原程序，若不是则通过Toast给予用户提示。

使用HTML5架构或android+HTML5混合开发，实现登陆、支付等关键页面，降低被劫持

的风险。

有争议的整改建议

在实施整改过程中，运营商、APP厂商及安全厂商之间就如下几点存在争议：

关键数据明文传输

根据客户测评结果以及移动终端APP厂商理解，目前的数据安全问题可为：

•客户端安全（数据录入）。

•客户端到服务器安全（数据传输）。

•服务器端安全（数据存储）。

而关键数据明文传输属于客户端数据录入安全，针对此部分，目前不仅是移动终端APP，

包括Web安全方面，对此部分要求也是不一而分，具体可以体现为：

•具有现金流的交易平台：此类业务安全级别要求最高，在数据传输方面也是目前做得

最好的。主要代表是：淘宝、京东、各大银行网银等。

•具有较大社会影响力的平台：