應(yīng)用商店不完全檢測,互聯(lián)網(wǎng)金融APP單款平均漏洞超35個

時間：2022-03-19 21:00:01 | 來源：網(wǎng)絡(luò)推廣

時間：2022-03-19 21:00:01 來源：網(wǎng)絡(luò)推廣

網(wǎng)蛙科技對當前市場上兩類應(yīng)用商店的互聯(lián)網(wǎng)金融APP進行檢測,分別為豌豆莢、應(yīng)用寶、360手機助手等知名獨立第三方應(yīng)用商店,以及小米應(yīng)用商店、華為應(yīng)用市場等終端廠商自建的應(yīng)用商店。

據(jù)不完全統(tǒng)計(本段漏洞數(shù)據(jù)均特指互聯(lián)網(wǎng)金融類APP),截止2015年12月,手機應(yīng)用商店中的漏洞總數(shù)超過88萬,高危漏洞占比14%,單個應(yīng)用商店的最高漏洞數(shù)目超過19萬個,其中第三方應(yīng)用商店的平均漏洞數(shù)目超過25萬個,終端廠商自建的應(yīng)用商店漏洞數(shù)目平均達到4萬個,第三方應(yīng)用商店的安全系數(shù)相對低于終端廠商自建的應(yīng)用商店。

從當前市場APP下載情況來看,APP下載渠道占比最高的為第三方應(yīng)用商店(占比54%),其次為終端廠商自建的應(yīng)用商店(占比34%),這兩大類應(yīng)用商店是當前用戶下載APP的主要渠道?；ヂ?lián)網(wǎng)金融APP漏洞檢測結(jié)果反映出當前市場上的金融類APP的安全工作亟待加強,也同時反映出應(yīng)用商店安全檢測工作不到位,無法完全保障上架APP安全?；ヂ?lián)網(wǎng)金融行業(yè)比其他行業(yè)更緊密地觸及財產(chǎn)信息與隱私信息等,互聯(lián)網(wǎng)金融APP的安全,是用戶、企業(yè)、應(yīng)用商店乃至整個國家的硬需求。2016年,應(yīng)用商店需要在安全檢測方面做更多工作。

2015年互聯(lián)網(wǎng)金融APP漏洞比例一覽

檢測結(jié)果顯示,2015年,互聯(lián)網(wǎng)金融APP的高中低危漏洞分布呈現(xiàn)中間大兩頭小的態(tài)勢。

中危漏洞占比最高,超過60%,影響了絕大多數(shù)的互聯(lián)網(wǎng)金融APP。中低危漏洞的防護難度相對較低,大多企業(yè)可以通過加強安全工作來杜絕中低危漏洞。

危害性最高的高危漏洞占比為14%,雖然比例不高,但高危漏洞所造成的危害要遠大于中低危漏洞,因此需要引起互聯(lián)網(wǎng)金融APP開發(fā)者的高度重視。

高危漏洞危害深遠,APP開發(fā)者應(yīng)加強防護

2015年,網(wǎng)蛙科技通過檢測發(fā)現(xiàn),大量的金融理財類APP存在WebView不校驗證書、HTTPS信任所有主機和Android消息推送等高危漏洞。

僅以Android消息推送漏洞這一邏輯驗證漏洞為例,它主要影響Android應(yīng)用程序的消息推送服務(wù)功能,如短信、郵件等。Android的APP如果存在這一漏洞,黑客無須被授權(quán)就可以通過它遠程攻擊竊取受害者Android系統(tǒng)的推送消息,如果發(fā)送PendingIntent時未指定接收方包名,或者使用了有漏洞的消息推送服務(wù),如Google、mPush、Amazon、Urban Airship,都受到該漏洞的威脅。

APP安全,從防護漏洞開始

隨著互聯(lián)網(wǎng)的發(fā)展,向移動端遷移已成為行業(yè)發(fā)展的必然趨勢。未來的市場上,互聯(lián)網(wǎng)金融APP將是互聯(lián)網(wǎng)金融市場乃至金融市場的重要一環(huán)。大數(shù)據(jù)時代,企業(yè)如果不重視安全工作這把達摩克利斯之劍,一旦落下,將是不可承受之痛。這些年互聯(lián)網(wǎng)金融企業(yè)因為漏洞被黑客利用而倒閉或跑路的案例,應(yīng)成為所有互聯(lián)網(wǎng)金融企業(yè)的前車之鑒。

政府對于互聯(lián)網(wǎng)金融行業(yè)的發(fā)展一直寄予厚望并保持高度關(guān)注。2015年,互聯(lián)網(wǎng)金融被寫入政府工作報告,國家總理李克強在兩會上公開稱贊互聯(lián)網(wǎng)金融的發(fā)展,并希望大力發(fā)展普惠金融制度互聯(lián)網(wǎng) 行動計劃。與此同時,政府對于互聯(lián)網(wǎng)金融的安全也從未放松,相關(guān)的監(jiān)管政策正不斷地推出并完善,2015年12月,銀監(jiān)會、工信部等多部門聯(lián)合發(fā)布網(wǎng)絡(luò)借貸管理辦法(征求意見稿),標志著高層正式著手整治互聯(lián)網(wǎng)金融市場亂象。

隨著互聯(lián)網(wǎng)金融移動端的發(fā)展,使用場景復雜化,關(guān)聯(lián)行業(yè)普遍化以及使用人群多樣化,綜合導致其安全工作的復雜程度與重要程度遠遠超過傳統(tǒng)Web端,其互聯(lián)網(wǎng)金融移動端處于一個更開放的網(wǎng)絡(luò)環(huán)境中,開放的接口更多,更容易遭受黑客 攻擊。同時因為涉及的領(lǐng)域廣泛,使用傳統(tǒng)的安全防護手法已經(jīng)成為一種低效益的選擇,建議APP開發(fā)者直接從問題的根源安全漏洞保護移動端安全,高性價比地保護自己。

同時對絕大部分的互聯(lián)網(wǎng)金融APP開發(fā)者來說,無法設(shè)置專人專崗用以監(jiān)控應(yīng)對互聯(lián)網(wǎng)世界的高頻安全威脅,一是絕大部分企業(yè)的APP開發(fā)者并不具備漏洞或0-day漏洞的挖掘能力,二是漏洞挖掘耗時久,從商業(yè)效益上說,企業(yè)自行防護漏洞的性價比不高。參考互聯(lián)網(wǎng)移動端安全發(fā)展的軌跡,APP開發(fā)者與獨立的第三方APP安全企業(yè)合作將成為互聯(lián)網(wǎng)移動端安防的主流趨勢,建議APP開發(fā)者與0-day漏洞研究團隊合作,借助專業(yè)的力量,打造更加安全的APP產(chǎn)品。

注:網(wǎng)蛙科技本報告中涉及的第三方數(shù)據(jù),援引自2015《互聯(lián)網(wǎng)金融專題報告》、2015《三季度中國第三方支付市場分析報告》和《2015中國電子銀行調(diào)查報告》,以及中國銀聯(lián)、艾瑞咨詢、艾媒咨詢、網(wǎng)貸之家、零壹研究院數(shù)據(jù)中心、Testin AppBase數(shù)據(jù)等第三方數(shù)據(jù)機構(gòu),在此表示感謝。