威尼斯www.9778.com-威尼斯正版官方网站

手机上有多少程序能查看你的隐私?

日期:2019-12-25编辑作者:Web前端技术

这只是一个小小的例子,从中可以看到,如果在未来几年,智能手机得到了真正的普及,那么我们肯定会看到更多的病毒和安全漏洞。幸运的是,智能手机操作系统的设计理念,比 PC 操作系统更封闭。智能手机操作系统可以用很多手段来限制第三方程序,把危害降到最低。例如沙盒模式,强制关闭,甚至人工审批程序。但 Lookout 觉得手机病毒的爆发只是一个时间问题,一旦病毒爆发,带来的危害将比电脑病毒更可怕——因为用户的所有隐私信息都被偷走了。

容易引起账号被盗、信息泄露等严重问题。

Lookout 提到,这些风险和漏洞并非来自于程序员的恶意,可能仅仅是疏忽或懒惰。

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

我们可以看看初步的统计数据:

那么,Android系统为什么就那么不安全呢?

例如,一些 Android 程序员获取了用户当前的位置信息,然后把它记录在一个 log 文件中。而这个 log 文件又可以被其它程序任意读取,所以说,这是一个相当大的风险。当然,在 Android 2.2 中已经从系统层面上堵住了这个漏洞,可惜大多数用户并没有升级到 Android 2.2 。

 

Lookout 开发了一系列安全和备份软件,覆盖了 Android ,Windows Mobile 和黑莓平台。目前他们正在展开一个名为 App Genome Project 的计划,它会明确地告诉用户:你的手机上哪些程序访问了哪些隐私数据。

Android应用现状:病毒泛滥,仿冒严重

不论怎么说,未雨绸缪总是好事。

查看、修改他人用户信息、信息泄露等。

图片 1

个人敏感信息泄露会导致账号被盗、网银盗刷等

Android 平台上 29% 的免费程序能获取用户的位置信息,而 iPhone 上有 33% 的免费程序能获取用户的位置信息。 Android 平台上 8% 的免费程序能获取用户的联系人信息,而 iPhone 上这个比率高达 14%,几乎是 Android 平台的两倍。 Android 平台上 47% 的免费程序中包含了第三方私有代码,而 iPhone 上的情况稍好,这个比率是 23%。第三方私有代码指的是那些广告代码,流量统计代码等等。

作为以前占据智能手机头把交椅的 Symbian ,就遭受过病毒的威胁。但现在 iPhone 和 Android 面临的环境更为复杂,因为它们要面对的是 30 多万款程序,预计在 2012 年的全年下载量将达到 500 亿次!无疑 Lookout 正是看中了手机安全这块巨大的市场。

携程App存在该漏洞,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞。可能导致大量用户持卡人姓名、身份证、银行卡号、卡CVV码、等信息外泄。

苹果 iPhone 和 Google Android 平台上的第三方应用程序,已经获得了爆炸性的增长。这些程序已经牢牢地控制了我们的手机,Lookout 正试图提醒人们,手机带来了太多的隐私问题,和太多的安全风险。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。原因是没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。

可被动态调试,增加了apk被破解、分析的风险。

 

生成的随机数具有确定性,存在被破解的风险。

近些天有关三星 NOTE 7 炸机事件的讨论层出不穷,大家在挑选一款手机时已经要考虑到人身安全的因素了,简直不要太恐怖。在保证人身安全的情况下,多数用户挑选的手机依然是物美价廉的Android手机,但Android系统因为其开源的特性,使用过程中的不确定性和系统漏洞导致用户在使用Android手机时可能会产生隐私泄露、经济损失、敏感信息泄露等安全问题,新闻报道中的那些手机安全事件也大多是因为如此。

危害:

新闻来源:

相关案例:

危害:

使用AES/DES/DESede加密算法时,如果使用ECB模式,容易受到攻击风险,造成信息泄露。

用户信息泄露等。

相关案例:

泄露方式

图片 2

危害:

在目前大多数应用的测试团队中,大都缺乏安全测试的意识和能力,且安全测试专业性强、涉及面广、人才稀缺,组建安全团队成本太高,想做安全测试也有心无力。

图片 3

 

 

Android系统的应用可以申请读取短信、发送短信、接收短信、拨打电话、读取通讯录、修改通讯录等重要权限, 无需Root即可替换短信、通讯录、相机、输入法等系统应用功能 ,可以更灵活的去开发第三方应用,但是也给了病毒和恶意软件可乘之机,易造成隐私泄露、短信被拦截(可导致账号被盗、网络支付安全问题)、被恶意扣费、自动给通讯录其他人发送病毒链接等问题。

 

 

业务逻辑漏洞是指由于程序逻辑不严密或逻辑太复杂,导致一些逻辑分支不能够正常处理或处理错误。常见漏洞包括:任意密码修改(没有旧密码验证)、密码找回漏洞、业务数据篡改等。

危害:

所有安全问题也会出现在App的服务端。而Web安全已经发展了很长时间,研究人员、黑客也很多,技术成熟,更容易被黑客发现漏洞。

危害:

48%的仿冒应用有隐私窃取行为,31%的仿冒应用有短信劫持行为,隐私窃取、短信劫持等病毒容易造成用户隐私信息泄露,影响金融账户资金,对用户危害极大,需谨慎使用。

约34%是高危漏洞,在18个行业中高危漏洞占比最高。

 

上海一家彩票代理网站工作人员发现后台被人恶意转账140余万元。经调查发现,问题出在这家公司的网络支付移动端口。黑客在彩票代理网站注册账户后充值1元,然后利用技术手段将账户金额篡改为10万元。

41%的仿冒应用有远程控制行为,容易导致用户手机被黑客控制,引起隐私信息泄露、账号被盗等风险。

金融类Top10, Android 应用有669个漏洞,平均每个含67个漏洞,其中22%是Webview远程代码执行高危漏洞。

简述:

金融类Top10应用中,100%应用含病毒仿冒软件,平均仿冒量45.6个, 且94%的仿冒应用具有高风险病毒行为。

APP安全之上车一处无效xss可间接影响18万土豪车主(包括认证的特斯拉/劳斯莱斯/法拉利车主等)

用户信息泄露,被不法分子用于诈骗、出售信息等。

这些漏洞到底有多危险?1.敏感信息泄露漏洞 什么是敏感信息?

约19%是高危漏洞,游戏类应用更新迭代频率高,资金,用户下载量大,存在的漏洞风险不容忽视。

撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。

代码中生成秘钥时使用明文硬编码,易被轻易破解。

在2015年公开的漏洞数据中,71%的漏洞集中在移动业务网关、服务器端,攻击者把移动应用作为入口进行分析,而漏洞产生及修复需要在服务器端完成。移动应用本身引起的漏洞占总比25%。

图片 4

在第三方应用市场分别下载了18个行业的Top10应用共计180个,进行漏洞分析,97%的应用都有漏洞,总漏洞量15159个,平均每个应用有87个漏洞,且23%的Top10应用都有高风险漏洞。

相关案例:

比如:登录密码、后台登录及数据库地址、服务器部署的绝对路径、内部IP、地址分配规则、网络拓扑、页面注释信息包括(开发者姓名或工号、程序源代码)。

危害:

 

 

除了以上客户端可能出现的这些漏洞,服务端可能出现的安全漏洞同样不能忽视。目前大量业务从传统的PC端扩展到移动端,在服务器上运行业务逻辑也是较为安全和低成本的实现方式。但正因为业务逻辑是在服务端处理,如果不对作为入口的客户端进行强有效的安全校验,客户端很容易被黑客作为突破口,用于挖掘服务端的业务风险漏洞。理论上,web服务器

除了普通用户,Android应用的开发者也同样要关注Android系统的安全问题,前面已经介绍了,Android系统有各种原因导致会有各种安全问题出现,且用户在手机Root后、中病毒等情况下,都会导致普通APP完全没有“隐私”可言,各种私有数据充分暴露。所以, 开发者需要考虑在手机被Root后私有数据被暴露的情况下,仍然能保证数据安全,不会泄露用户重要数据及隐私信息。 由于手机厂商修复系统漏洞很慢,一旦出现漏洞,开发者不能依赖系统更新, 更多时候需要自己想办法避免漏洞对用户造成损失。 而且Android碎片化严重,各种版本的系统占有率不相上下,这种情况下,低版本手机安全风险更大, 虽然谷歌在每次新系统上都会加强安全措施,但是很多情况下低版本系统仍然暴露在已知漏洞的威胁之下。

产品敏感信息泄露会导致服务器处于危险境地,可能被入侵攻击

AndroidManifest.xml文件中debuggable属性值被设置为true时(默认为false),该程序可被任调试 。

代码、数据库、配置文件中明文存储敏感数据

由此标准参考,如下字段在数据库的存储以及传输过程中,我们建议加密处理:密码、手机号、快捷支付手机号、Email、身份证、银行卡、CVV码、有效期。

 

5.加密算法漏洞

用户敏感信息

约27%是高危漏洞。

相关案例:

接口未限制导致撞库漏洞

一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,在进行增删改查的时候,没有判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。

电商类Top10应用中,90%的应用含病毒仿冒软件,平均仿冒量13个,且67%是高风险病毒应用。

产品敏感信息

 

59%的仿冒应用具有流氓行为,在游戏中弹出骚扰广告、匿名弹窗等,严重影响用户体验。此外31%的仿冒应用具有恶意扣费行为,容易导致用户手机流量消耗,或游戏账户中的资金受损。

App缺乏监管,仿冒应用泛滥

中间人攻击是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。

界定原则1:用户隐私保护主要考虑直接通过该数据或者结合该数据与其它的信息,可以识别出自然人的信息。

 

攻击者可通过中间人攻击,盗取账户密码明文、聊天内容、通讯地址、电话号码以及信用卡支付信息等敏感信息,甚至通过中间人劫持将原有信息替换成恶意链接或恶意代码程序,以达到远程控制、恶意扣费等攻击意图。

4.HTTPS中间人劫持漏洞

简述:

可被用来实现网页挂马,导致手机中毒等。

日志中打印敏感信息

危害:

使用不安全的Hash算法(MD5/SHA-1)加密信息,易被破解。

图片 5

图片 6

图片 7

SQL注入漏洞

 

简述:

界定原则2:一旦发生数据泄露事件,可以被恶意人员利用并在黑市卖到钱。

有利网某业务逻辑漏洞导致可无限刷红包(红包可用于投资)

 

 

WiFi万能钥匙 真的会盗取隐私?

图片 8

简述:

2.WebView远程代码执行漏洞

安卓WebView中接口隐患(远程代码执行漏洞)与手机挂马利用

图片 9

在安装Android应用时,应用会请求各种各样的权限,这也是普通使用者最容易忽略的一点,许多应用在安装时会请求和该应用使用时完全用不到的权限,这也为日后可能出现的问题埋下隐患。

相关案例:

搜狐两个APP存在SQL注入漏洞

3.任意调试漏洞

在第三方应用市场分别下载了18个行业的top10应用共计180个,对仿冒应用进行检测,结果显示约95%的应用都存在病毒仿冒,总病毒仿冒量高达11963个,平均每个热门应用的仿冒量达66个。(数据来源于阿里)

界定原则:信息泄露后直接对企业安全造成重大损失或有助于帮助攻击者获取企业内部信息,并可能帮助攻击者尝试更多的攻击路径。

简述:

简述:

据统计,游戏类Top10应用中,100%应用含病毒仿冒软件,平均仿冒量188个,且其中33%的仿冒应用具有高风险的病毒行为。

简述:

相关案例:

加密信息被破解,导致信息泄露。 如果加密的是账号、密码、银行卡、身份证等信息,破解后可被不法分子用于诈骗、盗号、盗刷等。

通信过程中明文传输敏感信息

游戏类Top10 Android应用有788个漏洞,平均每个应用含79个漏洞。其中29%是Webview远程代码执行高危漏洞。

目前国内第三方ROM市场缺乏监管,安全难以保障。现在很多手机厂商为了自身利益内置各类应用,但很多用户并不喜欢原生系统或内置应用,经常会Root,并刷第三方ROM,也造就了第三方ROM的繁荣市场。但第三方ROM的技术人员水平参差不齐,行业也缺乏监管,系统安全性难以保障,而且手机一旦进行了Root,一旦被病毒、恶意软件利用申请到最高权限,可以执行很多操作,会造成更大的危害。

 

 

相关案例:

XSS漏洞

WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互,但是该函数并没有对方法调用进行限制,导致攻击者可以调用任何JAVA类,最终导致JavaScript代码对设备进行任意攻击。

相关案例:

 

易造成账号被盗、免费购物、刷钱、刷游戏币等严重问题。

 

蒲公英专家测试同样也注意到了以上的问题,本着更好的为开发者服务的初心,新产品安全性测试也正在最后的打磨阶段,即将在不久后推出,详情可访问 蒲公英专家测试 咨询客服,我们也会根据您的需求在最后阶段完善我们的产品。

 

图片 10

危害:

在各大漏洞平台上,有大量存在HTTPS证书不校验漏洞,例如国内绝大部分Android APP存在信任所有证书漏洞、亚马逊最新官方Android版存在一处信任所有证书漏洞、Yahoo雅虎在国内访问遭遇SSL中间人攻击、携程旅游网最新Android客户端https未校验证书导致https通信内容完全被捕获。

图片 11

12306手机APP的登陆接口存在漏洞,黑客可以轻易绕过其账号安全防护措施,无限次尝试自动登陆。此前网上流传的13万余条12306用户密码都是由黑客“撞库”获取,如此巨大的登陆请求数量,12306都没有及时发现并进行屏蔽。

简述:

手机厂商对安全补丁更新缓慢同样也是一个大问题。系统漏洞被发现后,Google会及时更新系统补丁,而等到各个厂商给用户提供更新时可能已经过了半年以上。甚至有些厂商手机发布后,不再提供更新, 导致用户始终处于已知系统漏洞的风险之中。

简述:

由于Android系统是开源的,任何人都可以下载源码。这也就代表着,任何人都可以研究代码,也更容易发现系统漏洞,其开放的系统使得任何厂商均可以生产制造Android设备,而各种硬件厂商和第三方ROM开发者水平参差不齐,导致系统容易出现漏洞。

电商类Top10应用共有851个漏洞,平均每个应用含85个漏洞,其中约27%是Webview远程代码执行高危漏洞,可导致恶意应用被植入、通讯录和短信被窃取、手机被远程控制等严重后果。

黑客可通过漏洞访问Uber优步司机和乘客信息

危害:

危害:

相关案例:

本文由威尼斯www.9778.com发布于Web前端技术,转载请注明出处:手机上有多少程序能查看你的隐私?

关键词:

鲍尔默承认 iPad 的成功,并准备用 Windows 7 平板追赶苹果

“那将是干Baba计算机的完全体,操作系统正是 Windows ,全职能的 Windows 7。比方说,当您购买了 Windows 7设备时,你能...

详细>>

魅族 4今日Hong Kong开卖 最低4480美金

汇通网9月13日讯苹果iPhone5发布之后,上市时间和价格也随即公布,首发国家或地区包含:香港,美国,加拿大,日本...

详细>>

Firefox4 beta 2发布,新增CSS3 transitions 和 tab

以下为tagLyst V1.05 的版本说明 列出了距上一个公开发布测试版 (V1.01) 之后的主要变更点。 Mozilla今天同时发布了Firef...

详细>>

苹果Safari升级5.0.1 正式引入第三方插件威尼斯www.9778.com

- 修正了会导致上的登机牌无法正确打印的问题 根据苹果官方在一台2.8GHz Core 2Duo,2GB内存的iMac机型,WindowsVista操作系...

详细>>