首页 >育儿

360发布金融证券类APP安全报告55登

2019-05-14 20:57:51 | 来源: 育儿

12月4日,360互联安全中心发布《2014年金融证券类应用安全性评测报告》(以下简称《报告》),针对下载量TOP20的金融证券类应用进行了一次全方位的安全性测评。测评结果显示,其中有11款金融证券类应用在登陆时安全性存疑,占测试应用的55%。

360互联安全中心对下载量的20款金融证券类应用做的安全测试主要包括WebView安全性、组件数据安全性、本地数据安全性和登录安全性4个主要方面的7项具体内容。

图1:下载量的20款金融证券类应用

两款应用存严重安全漏洞可致隐私泄漏

WebView是用于浏览页的控件,金融证券类运用一般其实不需要将WebView导出给其他运用供以调用。由于安卓系统中WebView相关的漏洞频发,将WebView暴露在外会面临较大的风险。从结果分析来看,20款运用中有2款应用的WebView存在严重的安全漏洞。

图2:运用被钓鱼攻击后进入钓鱼页面

黑客可以利用暴露的且未被安全保护的WebView控件进行钓鱼攻击、使用代码执行漏洞进行攻击、同源绕过攻击等方式进行歹意攻击,从而窃取金融隐私数据,劫持交易等,进而谋取暴利。

20款运用存77个崩溃问题

Android四大基本组件分别是Activity,Service(服务),Content Provider(内容提供者),BroadcastReceiver(广播接收器)。这四大组件是安卓运用的主要攻击目标,在组件数据安全性测试分析中,共从20款运用中扫描出77个崩溃问题,其中Activity扫描出的崩溃问题多,占总崩溃问题总数的61%,其次Broadcast 、Service,分别占比为26%,13%。

图三:20款金融类应用存在崩溃个数统计

此外,通过对自动化结果的人工筛选,还发现了一些可利用的高危漏洞,如本地账号密码泄露漏洞、功能接口暴露漏洞、大量组件暴露漏洞等。这些漏洞可致使用户的登陆账号密码外泄、接收虚假推送信息等,带来极大安全问题。

55%金融证券类应用登陆有风险

360互联安全中心对20款应用的登陆安全问题进行了分析,其中4款运用不校验服务端证书,5款应用存在重放攻击问题,2款应用明文传输密码,3款应用在社交账号绑定后,微博登陆不校验服务端证书。

需要特别说明的是,对20款应用的测试中,使用HTTP协议传输的全部存在重放攻击问题,使用HTTPS协议传输的全部存在有服务器证书验证问题,一款使用HTTP+自有协议的,暂未发现问题,即55%金融证券类运用登陆安全性存疑。

如果客户端在登录进程中不对服务端的身份(证书)进行校验,就有可能信任伪装身份的冒牌服务端,连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。也就是遭遇中间人攻击。

专家建议使用以下方法提升金融证券类运用安全性

,尽可能不要将WebView组件设置为可导出,开发者在注册广播receiver时,不但要限制发送方必须要有相应的权限,还应限制只有相同数字签名的应用程序才能申请该权限。

第二,若无必要需求,不要将大量组件接口数据暴露在外,否则会存在潜在的高危风险。开发者尽量不要将用户名和密码等敏感信息保存在本地,不要轻易赋予文件全局可读/写权限。

360互联安全中心建议开发者采用比较完善的HTTPS加密机制,并使用时间戳或挑战-响应机制应对重放攻击。另外,用户一定要通过安全可靠的应用市场或官下载金融证券类运用,避免下载安装到被歹意篡改的运用,一定要通过360卫士等安全软件保护使用安全。

详细报告地址:

经期不准调理方法
经期不准吃哪种药
什么病会导致经期延长

猜你喜欢