手机app 的安全隐患有哪些
App的安全隐患来源有很多,如使用不安全的协议,集成了有缺陷的SDK,或者程序员的疏忽导致的逻辑缺陷,或者是代码本身有问题等,第三方移动支付手机软件涉及资金安全,flasksqlalchemy源码安全漏洞风险,导致APP的信息泄露被盗等等
如前段时间波及面非常广的Xcodeghost事件,XcodeGhost病毒事件主要针对就是手机上的app们,四千多款iOS应用感染此病毒,相当一部分还在苹果商店上挂着。而安卓因为游戏开发工具Unity和cocos2dx的安卓版本也已被类似病毒感染,也是福利图app 源码纷纷扑街。
再比如说最近百度全家桶,月日消息,乌云漏洞平台曝百度旗下多款App存在WormHole漏洞,安卓手机只要连接了网络,无论root与否都有被安装应用和远程控制的风险。目前,百度已经确认了该漏洞,并在回复中称“此漏洞已知晓且mo + sdk已修复”。
还有购衣网站的漏洞氧气官网漏洞打包,泄露全部用户信息,从远数从近看,都是修改交易软件源码非常大的体量。
因此,我们可以使用一些第三方软件检测安全隐患问题,但是,最安全的方法还是要日常使用手机的时候要注意保护好自己的信息,谨防安全隐患问题,
XcodeGhost病毒检测方法
年9月日上午,微博用户曝光称,有开发者用了非官方渠道下载的Xcode编译出来的应用被注入了第三方的代码,会向一个网站上传数据。作为开发者,我给大家分享一个手动检测Xcode是否中毒的方法。
1.打开Finder然后在左边导航栏中找到应用程序--Xcode,post 在线测试源码右键显示包内容。恶意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms /iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”正常的Xcode的SDK目录下没有Library目录。
如果没有Library目录,恭喜你是没有中毒,如果有SDKs以后的文件路径。则说明你已经被XcodeGhost病毒入侵。
被病毒入侵之后,需要重新安装Xcode,如果使用带有病毒的Xcode的编译器编译的应用程序会被苹果强制下架。并提示“二进制文件被拒绝”。因此建议开发者朋友去苹果官网等正规渠道下载Xcode开发工具。
其次,tensorflow源码编译方式还应该检测一下Target-Build Setting-Search Paths-Framework Search Paths的设置,看看是否有可疑的frameworks混杂其中
APP测试练手笔记(1)代码保护与应用配置
深入探讨移动应用安全测试的关键步骤与关注点,以确保用户的隐私与数据安全。当前,移动应用的普及使得我们的日常活动与之紧密相连,从约会到支付,一个应用往往承载着大量的用户数据。因此,评估应用的安全性变得至关重要。本文旨在提供一个清晰的框架,指导如何在移动应用中进行安全测试,以识别潜在的安全漏洞并采取相应的预防措施。 移动应用安全测试关注点包括敏感数据暴露、鉴权机制缺陷、钓鱼劫持风险、代码层面保护不足、应用配置错误、XcodeGhost病毒以及开发者证书不规范等问题。这些关注点构成了一个全面的安全测试流程,帮助开发者识别并修复潜在的安全隐患。 ### 代码与应用配置方面的问题 代码保护不足,可重新编译打包:通过使用ApkTool进行反编译,修改源代码,重新编译和签名,来测试应用的完整性。若发现可以注入恶意代码或绕过鉴权,应修改程序安装后 classes.dex 文件的 Hash 值,以判断软件是否被重新打包并进行提示。 allowbackup权限数据泄露风险:检查AndroidManifest.xml文件中allowBackup属性是否设置为true,若存在,可能导致数据泄露。建议将android:allowBackup属性设置为false,防止数据泄漏。 Debuggable属性应用信息篡改泄露风险:检查Debuggable属性是否设置为true,允许设置断点控制程序执行。若开启,应关闭此属性以防止应用信息被篡改。 信任所有证书漏洞:检查SDK是否存在安全问题,如直接选择信任所有证书,可能导致中间人攻击和劫持。应升级SDK或使用SSLSocketFactory.STRICT_HOSTNAME_VERIFIER进行验证。 开发者证书规范测试:确保证书满足规范性要求,检查是否过期。使用JEB CA查看页面或java JDK自带的keytool工具进行验证。 ### 应用配置错误 关键页面钓鱼劫持风险:确保敏感界面如登录、支付等是否受到钓鱼劫持保护,如提示用户等。在关键类的onpause中实现钓鱼劫持防护功能。 ### WebView漏洞 WebView接口函数addJavascriptInterface可能导致本地JS与Java交互漏洞,需检查版本限制和过滤措施。对于Android 4.2及之后版本,使用@JavascriptInterface注解代替addjavascriptInterface。 ### 不安全的本地存储 检查Shared Preferences、SQLite数据库和SD卡目录,确保敏感数据经过加密处理,防止数据泄露。 ### 边信道信息泄露 通过日志文件分析,加密存储密码等敏感信息,并对敏感信息的缓存进行加密,防止通过边信道被攻击者利用。 本文以诱导充钱的约炮APP为例,详细介绍了在代码保护与应用配置方面进行安全测试的关键步骤与关注点。通过实施上述测试流程,可以有效识别并修复移动应用中的安全漏洞,增强应用的安全性和用户信任度。2024-11-29 23:50
2024-11-29 23:02
2024-11-29 22:55
2024-11-29 22:45
2024-11-29 21:22