金融證券類手機(jī)應(yīng)用安全性評(píng)測(cè)報(bào)告

1、2014年金融證券類手機(jī)應(yīng)用安全性評(píng)測(cè)報(bào)告2014年12月4日摘 要本次報(bào)告主要針對(duì)下載量TOP20的金融證券類應(yīng)用進(jìn)行了一次全方位的安全性測(cè)評(píng)。測(cè)評(píng)內(nèi)容主要包括WebView安全性、組件安全性、本地?cái)?shù)據(jù)安全性和登錄安全性這4個(gè)主要方面的7項(xiàng)具體測(cè)試。在WebView安全性檢測(cè)中，共發(fā)現(xiàn)2款應(yīng)用的WebView存在嚴(yán)重的安全漏洞，可導(dǎo)致應(yīng)用程序內(nèi)部敏感數(shù)據(jù)泄露。在對(duì)應(yīng)用組件數(shù)據(jù)進(jìn)行的模糊測(cè)試中，共掃描出77個(gè)崩潰問題，其中Activity組件掃描出的崩潰問題最多，占崩潰問題總數(shù)的61%，其次是Broadcast、Service，分別占比為26%和13%。在本地?cái)?shù)據(jù)安全性檢測(cè)中，共檢測(cè)出4款應(yīng)用

2、將部分文件設(shè)置為全局可讀，3款應(yīng)用將文件設(shè)置為全局可寫。 其中，同花順應(yīng)用安全系數(shù)最低，在20款應(yīng)用中，是唯一一款將文件同時(shí)設(shè)置為全局可讀，全局可寫的應(yīng)用，并且涉及文件個(gè)數(shù)最多。在登陸安全性檢測(cè)中，共檢測(cè)出4款應(yīng)用不校驗(yàn)服務(wù)端證書，5款應(yīng)用存在重放攻擊問題，2款應(yīng)用傳輸密碼加密簡單，3款應(yīng)用在社交賬號(hào)綁定后，微博登陸不校驗(yàn)服務(wù)端證書。關(guān)鍵詞：金融證券、APP、WebView、本地?cái)?shù)據(jù)、登錄安全目 錄 TOC o 1-2 h z u HYPERLINK l _Toc405453015 安全測(cè)評(píng)綜述 PAGEREF _Toc405453015 h 1 HYPERLINK l _Toc4054530

3、16 第一章WebView安全性分析 PAGEREF _Toc405453016 h 3 HYPERLINK l _Toc405453017 一WebView不合理導(dǎo)出 PAGEREF _Toc405453017 h 3 HYPERLINK l _Toc405453018 二釣魚攻擊 PAGEREF _Toc405453018 h 3 HYPERLINK l _Toc405453019 三使用系統(tǒng)漏洞進(jìn)行攻擊 PAGEREF _Toc405453019 h 4 HYPERLINK l _Toc405453020 四應(yīng)用數(shù)據(jù)隔離繞過攻擊 PAGEREF _Toc405453020 h 6 HYP

4、ERLINK l _Toc405453021 第二章組件安全性分析 PAGEREF _Toc405453021 h 8 HYPERLINK l _Toc405453022 一模糊測(cè)試 PAGEREF _Toc405453022 h 8 HYPERLINK l _Toc405453023 二本地賬號(hào)密碼泄露漏洞 PAGEREF _Toc405453023 h 9 HYPERLINK l _Toc405453024 三功能接口暴漏漏洞 PAGEREF _Toc405453024 h 11 HYPERLINK l _Toc405453025 四大量組件暴露漏洞 PAGEREF _Toc4054530

5、25 h 11 HYPERLINK l _Toc405453026 第三章本地?cái)?shù)據(jù)安全性分析 PAGEREF _Toc405453026 h 12 HYPERLINK l _Toc405453027 一本地文件泄露 PAGEREF _Toc405453027 h 12 HYPERLINK l _Toc405453028 二本地存儲(chǔ)密碼漏洞 PAGEREF _Toc405453028 h 12 HYPERLINK l _Toc405453029 第四章登陸安全性分析 PAGEREF _Toc405453029 h 14 HYPERLINK l _Toc405453030 第五章安全建議 PAGE

6、REF _Toc405453030 h 16 HYPERLINK l _Toc405453031 附錄 參考鏈接 PAGEREF _Toc405453031 h 17安全測(cè)評(píng)綜述我國移動(dòng)互聯(lián)網(wǎng)發(fā)展已經(jīng)進(jìn)入全民時(shí)代。截至2014年6月，中國網(wǎng)民規(guī)模達(dá)6.32億，其中,手機(jī)網(wǎng)民規(guī)模5.27億，互聯(lián)網(wǎng)普及率達(dá)到46.9%。在網(wǎng)民上網(wǎng)設(shè)備中，手機(jī)使用率達(dá)83.4%，超越傳統(tǒng)PC整體80.9%的使用率。移動(dòng)終端已經(jīng)成為一種重要的媒介，占據(jù)了人們?cè)絹碓蕉嗟臅r(shí)間，成為用戶日常生活不可分割的一部分。本次報(bào)告針對(duì)應(yīng)用市場(chǎng)上下載量TOP20的金融證券類應(yīng)用進(jìn)行了安全性分析。評(píng)測(cè)目標(biāo)應(yīng)用的基本信息如下表所示：應(yīng)用名

7、稱包名版本編號(hào)數(shù)米基金寶萬得股票wind.android隨身行4.1易陽指5.51金太陽益盟操盤手投資脈搏東方財(cái)富通4.8現(xiàn)金寶3.1廣發(fā)手機(jī)證券4.8和訊股票百度理財(cái)方正泉友通同花順鑫財(cái)通lthj.exchangestock招商智遠(yuǎn)理財(cái)com.cmschina長江e號(hào)手機(jī)證券極速版com.ms235盈盈理財(cái)大智慧7.52測(cè)目標(biāo)應(yīng)用基本信息此次測(cè)評(píng)內(nèi)容主要包括：WebView安全性、組件數(shù)據(jù)安全性、本地?cái)?shù)據(jù)安全性和登錄安全性這4個(gè)方面的7項(xiàng)具體測(cè)試，具體測(cè)評(píng)結(jié)果如下表。其中，在登陸安全性一項(xiàng)中，A、B、C、D 分別代表四種不同的登錄安全性問題，即，A：不校驗(yàn)服務(wù)端證書；B：重放攻擊；C：傳輸密

8、碼加密簡單；D：微博登陸不校驗(yàn)服務(wù)端證書。應(yīng)用名稱WebView控件安全性組件安全性本地?cái)?shù)據(jù)性登錄安全性不合理導(dǎo)出個(gè)數(shù)Activity崩潰個(gè)數(shù)Broadcast崩潰個(gè)數(shù)Service崩潰個(gè)數(shù)全局可讀文件個(gè)數(shù)全局可寫文件個(gè)數(shù)存在問題數(shù)米基金寶291030A萬得股票000100B隨身行010003易陽指1140000金太陽001000B益盟操盤手021200B投資脈搏010100AD東方財(cái)富通044100CD現(xiàn)金寶000000A廣發(fā)手機(jī)證券026200和訊股票012200ACD百度理財(cái)011020B方正泉友通000000同花順042045鑫財(cái)通021010B招商智遠(yuǎn)理財(cái)020001長江e號(hào)0200

9、00手機(jī)證券極速版001100盈盈理財(cái)000000A大智慧020000安全測(cè)評(píng)結(jié)果另外，還有個(gè)別應(yīng)用存在本地存儲(chǔ)密碼漏洞，在上表中并未體現(xiàn)，報(bào)告中將以具體舉例的形式進(jìn)行介紹。為避免具體測(cè)試方法和金融證券類應(yīng)用漏洞被人惡意利用，本次報(bào)告在未發(fā)布之前，已經(jīng)將漏洞詳情告知各家廠商。WebView安全性分析WebView不合理導(dǎo)出WebView是用于瀏覽網(wǎng)頁的控件。金融證券類應(yīng)用和銀行類應(yīng)用比較相似，應(yīng)用中并沒有包含太復(fù)雜的邏輯功能，主要功能由一個(gè)WebView提供。所以WebView也是本次分析的重點(diǎn)之一。對(duì)于金融證券類應(yīng)用說，一般并不需要將WebView導(dǎo)出給其他應(yīng)用供以調(diào)用。由于安卓系統(tǒng)中Web

10、View相關(guān)的漏洞頻發(fā)，將WebView暴露在外會(huì)面臨較大的風(fēng)險(xiǎn)。惡意程序會(huì)向暴露的WebView傳入一個(gè)惡意URL地址或惡意參數(shù)，利用多個(gè)已知系統(tǒng)漏洞對(duì)其進(jìn)行攻擊，導(dǎo)致應(yīng)用內(nèi)部敏感數(shù)據(jù)泄露。從分析結(jié)果來看，20款應(yīng)用中有2款應(yīng)用的WebView存在嚴(yán)重的安全漏洞，具體安全分析結(jié)果如下表。應(yīng)用名包名版本號(hào)已導(dǎo)出WebView組件個(gè)數(shù)數(shù)米基金寶2易陽指5.511WebView安全分析結(jié)果上述應(yīng)用并沒有對(duì)導(dǎo)出的WebView進(jìn)行任何安全性防護(hù)，黑客可以利用暴露的并且未被安全防護(hù)WebView組件進(jìn)行釣魚攻擊、使用系統(tǒng)漏洞進(jìn)行攻擊、應(yīng)用數(shù)據(jù)隔離繞過攻擊等方式進(jìn)行惡意攻擊，從而竊取金融隱私數(shù)據(jù)，劫持交

11、易等，進(jìn)而從中謀取暴利。下面對(duì)上述三種攻擊方法的原理進(jìn)行驗(yàn)證與說明。釣魚攻擊攻擊者可以向目標(biāo)應(yīng)用傳入一個(gè)URL的釣魚頁面，通常為釣魚登錄頁面，該頁面將在目標(biāo)應(yīng)用中顯示。用戶會(huì)誤以為應(yīng)用顯示的釣魚登錄頁面是應(yīng)用內(nèi)部的登陸界面，將賬號(hào)密碼輸入其中。而一旦用戶在釣魚登錄頁面上輸入賬號(hào)密碼，這些信息就會(huì)立即被回傳到攻擊者的服務(wù)器上，導(dǎo)致帳號(hào)密碼失竊。例如，使用以下指令可以對(duì)易陽指這款應(yīng)用的WebView漏洞進(jìn)行釣魚攻擊驗(yàn)證:。被檢測(cè)的WebView控件所插入的釣魚頁面am start -n / -e nexturlez webview_default_color true指令輸入后，該應(yīng)用會(huì)進(jìn)入如下圖

12、的釣魚登錄頁面。圖中只是一個(gè)示例，如果將登陸界面和APP界面風(fēng)格整合的更統(tǒng)一些，相信會(huì)有很多人中招。使用系統(tǒng)漏洞進(jìn)行攻擊Android系統(tǒng)的WebView有多個(gè)已知漏洞，如遠(yuǎn)程代碼執(zhí)行漏洞（相關(guān)CVE編號(hào)：CVE-2012-6636、CVE-2014-1939），F(xiàn)akeID漏洞等。當(dāng)開發(fā)者將WebView暴露在外，并且未對(duì)調(diào)用者進(jìn)行身份認(rèn)證，黑客便能通過存在漏洞的WebView對(duì)應(yīng)用進(jìn)行惡意攻擊，竊取資金信息。以遠(yuǎn)程代碼執(zhí)行漏洞為例，系統(tǒng)API addJavascriptInterface所導(dǎo)致的問題在Android 4.2版本以前的系統(tǒng)中是難以解決的，開發(fā)者利用4.2或更高版本開發(fā)的應(yīng)用才

13、能解決此問題。被檢測(cè)的WebView漏洞檢測(cè)頁面連接以數(shù)米基金寶和易陽指這兩款應(yīng)用為例，當(dāng)它們?cè)贏ndroid 4.2及以下版本上運(yùn)行時(shí)，360漏洞檢測(cè)頁面能夠通過以下方式注入到目標(biāo)進(jìn)程，可以檢測(cè)出暴露的 WebView接口。攻擊者可以利用所檢測(cè)出暴露的WebView接口對(duì)應(yīng)用進(jìn)行完全控制。由于該漏洞的攻擊方式已經(jīng)被披露很多次，這里不再贅述，具體攻擊手段請(qǐng)見附錄。對(duì)數(shù)米基金寶的WebView接口檢測(cè)：amparam_id asd -e param_title hellp -ez goMainActivity true -ez isHide true -e param_url /webview.

14、html -ez param_auto_login true被檢測(cè)的WebView漏洞檢測(cè)頁面連接對(duì)易陽指的WebView接口檢測(cè)：am start -n / -e nexturl http:/*.*/*.html -ez webview_default_color true同理，使用FakeID漏洞或者其他瀏覽器相關(guān)漏洞同樣有機(jī)會(huì)利用暴露的WebView接口獲得目標(biāo)應(yīng)用空間內(nèi)的代碼執(zhí)行權(quán)，這里不再贅述。應(yīng)用數(shù)據(jù)隔離繞過攻擊在Android系統(tǒng)中，不同的應(yīng)用一般情況下是不允許彼此訪問各自的私有數(shù)據(jù)文件的，但如果應(yīng)用內(nèi)置的WebView沒有禁用通過file協(xié)議加載的頁面的JavaScript執(zhí)行

15、權(quán)限，通過向?qū)С龅腤ebView傳遞一個(gè)file協(xié)議的本地文件存儲(chǔ)路徑，再在這個(gè)指定的本地文件上構(gòu)造特定的JavaScript代碼，就可以讀取到被攻擊應(yīng)用的任意內(nèi)部私有文件或者是被隔離的數(shù)據(jù)。具體攻擊方法請(qǐng)參見附錄。截止本報(bào)告發(fā)出之時(shí)，Google尚未修復(fù)這一漏洞，大量使用WebView的應(yīng)用和瀏覽器，都有可能受到此漏洞的影響。此類攻擊通常被用于同行競(jìng)爭的應(yīng)用與應(yīng)用之間，若用戶同時(shí)安裝存在競(jìng)爭關(guān)系的兩款應(yīng)用，一款應(yīng)用便可通過此方式對(duì)另一款應(yīng)用進(jìn)行攻擊。對(duì)于金融證券類應(yīng)用來說，被攻擊的應(yīng)用很可能被盜取應(yīng)用內(nèi)部的證券數(shù)據(jù)。經(jīng)分析發(fā)現(xiàn)數(shù)米基金寶和易陽指都不能抵抗這種類型的攻擊。下面以數(shù)米基金寶為例，

16、通過四步攻擊過程來說明和驗(yàn)證其存在應(yīng)用數(shù)據(jù)隔離繞過攻擊問題。第一步：首先構(gòu)造一個(gè)包含JavaScript函數(shù)的文件attack.html，存儲(chǔ)路徑為file:/data/local /tmp/attack.html。在這個(gè)文件attack.html中，使用JavaScript代碼編寫一個(gè)定時(shí)器，使其在被調(diào)用之后會(huì)被定時(shí)重新加載。下圖為attack.html的構(gòu)造方法。attack browserfunction loadXMLDoc()var arm = document.URL;var xmlhttp;if (window.XMLHttpRequest)xmlhttp=new XMLHttp

17、Request();xmlhttp.onreadystatechange=function()if (xmlhttp.readyState=4)/這里可以上傳獲取的文件內(nèi)容到遠(yuǎn)程服務(wù)器console.log(xmlhttp.responseText);alert(xmlhttp.responseText);xmlhttp.open(GET,arm);設(shè)置定時(shí)器xmlhttp.send(null);setTimeout(loadXMLDoc,4000); 攻擊目標(biāo)本地文件存儲(chǔ)路徑第二步：執(zhí)行如下檢測(cè)代碼，使數(shù)米基金寶中的WebView加載文件attack.html，致使文件中定時(shí)器開始計(jì)時(shí)。am

18、param_id asd -e param_title hellp -ez goMainActivity true -ez isHide true -e param_url file:/data/local/tmp/attack.html -ez param_auto_login true所替換的數(shù)米基金寶中文件鏈接第三步：在定時(shí)器計(jì)時(shí)結(jié)束之前，將attack.html中的內(nèi)容替換成一個(gè)指向數(shù)米基金寶內(nèi)部文件的鏈接，代碼如下：rm attack.html ln此時(shí)，由于WebView存在緩存機(jī)制，即使attack.html被刪除后，先前的attack.html文件中所包含的JavaScript

19、代碼仍然在內(nèi)存中被繼續(xù)執(zhí)行，即計(jì)時(shí)器仍在繼續(xù)計(jì)時(shí)。第四步：定時(shí)器到達(dá)截止時(shí)間后，WebView重新通過attack.html頁面中JavaScript的XMLHttpRequest函數(shù)，讀取當(dāng)前文件的內(nèi)容并顯示在頁面中，讀取內(nèi)容如下圖：到此，我們實(shí)際上就已經(jīng)完成了一個(gè)通過外部命令，讀取數(shù)米基金寶內(nèi)部文件的過程。所以，為避免應(yīng)用內(nèi)部信息外泄，在應(yīng)用內(nèi)置的WebView通過file協(xié)議加載本地頁面時(shí)，應(yīng)該禁用頁面中的JavaScript函數(shù)。 當(dāng)然，最安全的方法還是不要在應(yīng)用中導(dǎo)出WebView。組件安全性分析Android四大基本組件分別是Activity，Service（服務(wù)），Content

20、 Provider（內(nèi)容提供者），Broadcast（廣播接收器）。這四大組件是安卓應(yīng)用的主要攻擊目標(biāo)，在本次組件數(shù)據(jù)安全性測(cè)試分析中，我們首先使用模糊測(cè)試（Fuzz Testing）對(duì)Activity、Service、Broadcast這三大組件進(jìn)行自動(dòng)化分析，發(fā)現(xiàn)程序存在崩潰問題后，再針對(duì)崩潰問題進(jìn)行人工漏洞挖掘，進(jìn)一步發(fā)現(xiàn)嚴(yán)重高危漏洞。模糊測(cè)試模糊測(cè)試是一種通過向目標(biāo)系統(tǒng)提供非預(yù)期的輸入并監(jiān)視其異常運(yùn)行結(jié)果來發(fā)現(xiàn)軟件漏洞的方法，此方法可被用于測(cè)試Activity、Service、Broadcast這三大組件的穩(wěn)定性測(cè)試和漏洞挖掘。此次測(cè)試中共從20款應(yīng)用中掃描出77個(gè)崩潰問題，其中Act

21、ivity掃描出的崩潰問題最多，占總崩潰問題總數(shù)的61%，其次是Broadcast、Service，分別占比為26%，13%。具體測(cè)試信息如下。應(yīng)用名包名版本號(hào)Activity崩潰個(gè)數(shù)Broadcast崩潰個(gè)數(shù)Service崩潰個(gè)數(shù)數(shù)米基金寶910萬得股票wind.android001隨身行4.1100易陽指5.511400金太陽010益盟操盤手212投資脈搏101東方財(cái)富通4.8441現(xiàn)金寶3.1000廣發(fā)手機(jī)證券4.8262和訊股票122百度理財(cái)110方正泉友通000同花順420鑫財(cái)通lthj.exchangestock210招商智遠(yuǎn)理財(cái)com.cmschina200長江e號(hào)200手機(jī)證券

22、極速版com.ms235011盈盈理財(cái)000大智慧7.52200模糊測(cè)試結(jié)果此外，通過對(duì)自動(dòng)化結(jié)果的人工篩選，我們還發(fā)現(xiàn)了一些可利用的高危漏洞，如：本地賬號(hào)密碼泄露漏洞、功能接口暴露漏洞、大量組件暴露漏洞等。下面我們將對(duì)這些高危漏洞的原理進(jìn)行詳細(xì)介紹。本地賬號(hào)密碼泄露漏洞這個(gè)漏洞來自于萬得股票。漏洞原理這個(gè)漏洞的成因是開發(fā)者對(duì)于廣播權(quán)限控制理解有誤。正確的廣播選項(xiàng)控制管理應(yīng)該是分兩步：首先定義一個(gè)廣播權(quán)限，將廣播權(quán)限中的protectLevel屬性定義為signatureOrSystem，即只有相同數(shù)字簽名的應(yīng)用程序才能申請(qǐng)?jiān)摍?quán)限。其后再注冊(cè)一個(gè)receiver，將剛剛自定義的廣播權(quán)限與rec

23、eiver綁定。然而萬得股票這個(gè)應(yīng)用直接注冊(cè)了一個(gè)receiver：wind.android.broadcast.AccountSend BroadCast。雖然開發(fā)者有意識(shí)的保護(hù)了這個(gè)廣播receiver，限制發(fā)送方必須要有權(quán)限，但是非常遺憾地是，開發(fā)者沒有對(duì)這個(gè)權(quán)限進(jìn)行定義，所以攻擊者可以在自己的廣播中隨意定義該權(quán)限，將權(quán)限的protectLevel屬性定義成normal，即為人人都可申請(qǐng)的權(quán)限，因此這個(gè)receiver可以遭受到攻擊。如下圖，萬得股票在AndroidManifest.xml中定義廣播時(shí)，并未對(duì)相應(yīng)權(quán)限進(jìn)行定義。萬得股票設(shè)計(jì)本身應(yīng)用中廣播的邏輯是：若該應(yīng)用的廣播接收器接受到

24、廣播消息，就會(huì)先讀取該賬戶自動(dòng)登錄的用戶名與密碼，并將其廣播出去。360安全專家也尚不理解萬得股票應(yīng)用所設(shè)計(jì)的廣播邏輯，但將用戶名與密碼廣播出去，卻是一種十分危險(xiǎn)的行為。這是一個(gè)匿名廣播，若已經(jīng)獲得權(quán)限的攻擊者可以對(duì)這個(gè)廣播進(jìn)行竊聽。漏洞證明首先在AndroidManifest.xml 中將wind.android. permission.ACCOUNT_SEND權(quán)限定義為人人可申請(qǐng)的權(quán)限，其次再發(fā)送該廣播，對(duì)萬得股票的receiver進(jìn)行攻擊，觸發(fā)其再次發(fā)送匿名廣播，致用戶名密碼泄露。同時(shí)注冊(cè)一個(gè)廣播接收器進(jìn)行竊聽，收集攻擊目標(biāo)發(fā)送廣播所攜帶的私密數(shù)據(jù)。如截圖所示，攻擊者獲得了用戶名和經(jīng)過M

25、D5和base64處理過的密碼。根據(jù)萬得的登陸協(xié)議，利用這些信息已經(jīng)可以登錄到其他人的賬戶上。功能接口暴漏漏洞這個(gè)漏洞來自廣發(fā)手機(jī)證券。廣發(fā)手機(jī)證券暴露了 Service這個(gè)推送消息服務(wù)，攻擊者可以向這個(gè)服務(wù)傳入服務(wù)器地址、端口號(hào)等配置參數(shù)，從而使廣發(fā)手機(jī)證券可以向用戶推送攻擊者的廣告信息。被檢測(cè)目標(biāo)漏洞驗(yàn)證人員傳入的服務(wù)器地址漏洞驗(yàn)證人員傳入的服務(wù)器端口號(hào)對(duì)廣發(fā)手機(jī)證券的漏洞驗(yàn)證如下：am broadcast / es notification_title -es title socket_host -es socket_port 8080 es device_id 0 es app_id

26、0 -show_type 1下面是廣發(fā)手機(jī)證券的消息推送服務(wù)，廣發(fā)手機(jī)證券通過這個(gè)服務(wù)推送實(shí)時(shí)股價(jià)等消息，服務(wù)器被篡改可能導(dǎo)致發(fā)送虛假消息。 大量組件暴露漏洞易陽指這款應(yīng)用幾乎將所有組件都暴露了出來。從這個(gè)應(yīng)用的AndroidManifest.xml來看，開發(fā)者并不理解組件導(dǎo)出所潛在的風(fēng)險(xiǎn)。上文提到過易陽指存在的WebView相關(guān)漏洞就是因?yàn)榇罅拷M件暴露導(dǎo)致的。本地?cái)?shù)據(jù)安全性分析本地文件泄露將文件設(shè)置成全局可讀/寫可能造成信息泄露、軟件功能不正常，甚至存在高危漏洞。我們對(duì)應(yīng)用文件訪問權(quán)限進(jìn)行了安全分析，發(fā)現(xiàn)在20款金融證券類應(yīng)用中，有4款應(yīng)用將部分文件設(shè)置為全局可讀，3款應(yīng)用將文件設(shè)置全局可寫

27、。 其中同花順應(yīng)用安全系數(shù)最低，在20款應(yīng)用中，它是唯一一款將文件同時(shí)設(shè)置為全局可讀，全局可寫的應(yīng)用，并且涉及文件個(gè)數(shù)最多。應(yīng)用名包名版本全局可讀全局可寫數(shù)米基金寶30萬得股票wind.android00隨身行4.103易陽指5.5100金太陽00益盟操盤手00投資脈搏00東方財(cái)富通4.800現(xiàn)金寶3.100廣發(fā)手機(jī)證券4.800和訊股票00百度理財(cái)20方正泉友通00同花順45鑫財(cái)通lthj.exchangestock10招商智遠(yuǎn)理財(cái)com.cmschina01長江e號(hào)00手機(jī)證券極速版com.ms23500盈盈理財(cái)00大智慧7.5200文件訪問權(quán)限分析結(jié)果本地存儲(chǔ)密碼漏洞本地明文存儲(chǔ)密碼或存

28、儲(chǔ)簡單加密的密碼都是不安全的，攻擊者可以使用系統(tǒng)漏洞竊取到該應(yīng)用數(shù)據(jù)目錄下的文件，從而獲取密鑰對(duì)其解密，進(jìn)而得到密碼的明文文件。東方財(cái)富通和長江e號(hào)都存在這種漏洞。東方財(cái)富通為了在登錄時(shí)實(shí)現(xiàn)了自動(dòng)登錄功能，所以將用戶名和密碼記錄在了本地，雖然用戶名和密碼是通過blowfish加密后存儲(chǔ)的，但是由于加密較為簡單，經(jīng)過簡單解密處理便可獲取密碼明文。長江e號(hào)的登陸使用的用戶名和密碼保存在common_account_info表中，雖然密碼不是明文存儲(chǔ)，但只是用des進(jìn)行了簡單加密，很容易從dex中得到加密密鑰從而得到明文密碼。下圖是密碼的解密過程代碼。登陸安全性分析我們對(duì)20款應(yīng)用的登陸安全問題進(jìn)行

29、了分析，下表給出了具體的檢測(cè)結(jié)果。其中4款應(yīng)用不校驗(yàn)服務(wù)端證書（A），5款應(yīng)用存在重放攻擊問題（B），2款應(yīng)用傳輸密碼加密簡單（C），3款應(yīng)用在社交賬號(hào)綁定后，微博登陸不校驗(yàn)服務(wù)端證書（D）。應(yīng)用名包名版本協(xié)議存在問題數(shù)米基金寶HTTPSA萬得股票wind.androidHTTPB隨身行4.1TCP易陽指5.51TCP金太陽HTTPB益盟操盤手HTTPB投資脈搏HTTPSAD東方財(cái)富通4.8HTTPCD現(xiàn)金寶3.1HTTPSA廣發(fā)手機(jī)證券4.8TCP和訊股票HTTPSACD百度理財(cái)HTTPB方正泉友通TCP同花順TCP鑫財(cái)通lthj.exchangestockHTTPB招商智遠(yuǎn)理財(cái)com.cm

30、schinaHTTP自有協(xié)議長江e號(hào)TCP手機(jī)證券極速版com.ms235TCP盈盈理財(cái)HTTPSA大智慧7.52TCP登錄安全分析結(jié)果不校驗(yàn)服務(wù)端證（A）：如果客戶端在登錄過程中不對(duì)服務(wù)端的身份（證書）進(jìn)行校驗(yàn)，就有可能“信任”偽裝身份的“冒牌服務(wù)端”，連接到假冒的服務(wù)端上。連接假冒的服務(wù)端不僅可能造成用戶名、密碼等信息被竊取，甚至還有可能造成直接的財(cái)產(chǎn)損失。重放攻擊（B）：如果攻擊者能夠截獲傳送登錄信息的數(shù)據(jù)包，并且在不解密該數(shù)據(jù)包的情況下，直接使用該數(shù)據(jù)包來成功登錄服務(wù)器，則稱這種攻擊為登錄過程中的重放攻擊。造成重放攻擊的主要原因是登錄加密機(jī)制不完善。在完善的登錄加密體系中，即使是相同的

31、賬號(hào)和密碼，在不同的客戶端上進(jìn)行登錄，其加密數(shù)據(jù)包也應(yīng)該是有所不同，并且還會(huì)隨時(shí)間的不同而不斷變化。傳輸密碼加密簡單（C）：用戶在使用手機(jī)APP登錄時(shí)，賬號(hào)與密碼等數(shù)據(jù)雖然是經(jīng)過加密后傳輸給服務(wù)器的，但由于加密算法過去簡單，很容易被攻擊者破解。微博登陸不校驗(yàn)服務(wù)端證書（D）：某些手機(jī)應(yīng)用與微博實(shí)行聯(lián)合登錄機(jī)制，但當(dāng)用戶使用微博賬號(hào)登陸該應(yīng)用時(shí)，客戶端未并對(duì)微博服務(wù)器的身份（證書）進(jìn)行校驗(yàn)。這就導(dǎo)致這個(gè)手機(jī)應(yīng)用很有可能會(huì)連接到假冒的微博服務(wù)器上，從而致使信息泄露。在表6的協(xié)議一欄中，我們可以看到，絕大多數(shù)金融證券類應(yīng)用在登錄過程都會(huì)選擇使用HTTP或HTTPS協(xié)議進(jìn)行登錄信息的傳輸。但也有部分應(yīng)

32、用在登陸時(shí)會(huì)選擇只使用傳輸層的TCP協(xié)議進(jìn)行傳輸，而沒使用應(yīng)用層的HTTP或HTTPS協(xié)議。一般而言，使用HTTPS進(jìn)行信息加密傳輸?shù)陌踩宰罡?。但從上表可見，在本次測(cè)評(píng)中被檢測(cè)的20款金融證券類應(yīng)用中，不論是使用HTTP的應(yīng)用，還是使用HTTPS的應(yīng)用，幾乎都或多或少的被檢測(cè)出了一定的登錄安全性問題。只有招商智遠(yuǎn)理財(cái)這款使用了HTTP協(xié)議+自有協(xié)議實(shí)現(xiàn)加密的應(yīng)用，暫時(shí)沒有被檢測(cè)出登錄安全性問題。還需要特別說明的是，在上表中，所有使用TCP協(xié)議的應(yīng)用都沒有被檢測(cè)出登錄安全性問題，但這并不表示這些應(yīng)用就比使用了HTTP或HTTPS協(xié)議的應(yīng)用在登錄方面更安全。這主要是因?yàn)椋耗壳笆袌?chǎng)上絕大多數(shù)的手機(jī)應(yīng)用都是采用HTTP或HTTPS協(xié)議來傳輸?shù)卿浶畔⒌模鴥H僅使用TCP協(xié)議來傳輸?shù)卿浶畔⒌膽?yīng)用非常少見（但在本次檢測(cè)的20款金融證券類手機(jī)應(yīng)用中，竟