移動APP安全測試要點

移動APP安全測試要點隨著運營商新技術(shù)新業(yè)務的發(fā)展，運營商集團層面對安全的要求有所變化，滲透測試工作將會面臨內(nèi)容安全、計費安全、客戶信息安全、業(yè)務邏輯及APP等方面的挑戰(zhàn)。隨著運營商自主開發(fā)的移動APP越來越多，這些APP可能并不會通過應用市場審核及發(fā)布，其中的安全性將面臨越來越多的挑戰(zhàn)，這一點在《XcodeGhost危害國內(nèi)蘋果應用市場》一文中就曾提到過。這個問題也引起了運營商的足夠重視，已經(jīng)自主開發(fā)了自動化檢測工具及定期的APP安全測試評估工作。在此，邀請到移動APP安全測試專家，讓他們結(jié)合一次AndroidAPP安全測試實例，為大家講解評估特點，并將評估檢查點、評估細節(jié)和整改建議一一列出，給大家提供移動終端APP安全測試的思路。風起云涌的高科技時代，隨著智能手機和iPad等移動終端設(shè)備的普及，人們逐漸習慣了使用應用客戶端上網(wǎng)的方式而智能終端的普及不僅推動了移動互聯(lián)網(wǎng)的發(fā)展，也帶來了移動應用的爆炸式增長。在海量的應用中，APP可能會面臨如下威脅：

木馬破解慕改資源打包篡改竊取病毒木馬破解慕改資源打包篡改竊取病毒新技術(shù)新業(yè)務移動APP評估思路在這次的移動APP安全測試實例中，工作小組主要通過如下7個方向，進行移動終端APP安全評估：/能力調(diào)用資源訪問感信息安聽認證鑒權(quán)謹信安全鍵盤輸入反逆向

/能力調(diào)用資源訪問感信息安聽認證鑒權(quán)謹信安全鍵盤輸入反逆向運營商自動化APP測評思路運營商自主開發(fā)的自動化APP安全檢測工具，通過”地集、省”三級機構(gòu)協(xié)作的方式，來完成移動終端APP安全檢測與評估。APP測試思路如下：檢查AndroidManifestxml配置文件中權(quán)限選項對常見的安全問題進行配置驗證，通過模擬攻擊方式，驗證終端檢查AndroidManifestxml配置文件中權(quán)限選項對常見的安全問題進行配置驗證，通過模擬攻擊方式，驗證終端APP存在的問題對常見的安全問題采取簡單人工驗證方式,獲取終端APP信息.自動化檢測思路安全檢測要點Allowbackup漏洞AndroidManifest.xml文件中allowBackup屬性值被設(shè)臵為true。當allowBackup標志為true時，用戶可通過adbbackup來進行對應用數(shù)據(jù)的備份，在無root的情況下可以導出應用中存儲的所有數(shù)據(jù)，造成用戶數(shù)據(jù)的嚴重泄露。<applicationandroid:theme=1T@7F0C0QEF,Tandroid:label=ir@7F0B0097,randroid:"。口=叫肚02006寧*android:name=w^??皿?aw?MyApplication1TIandroid:alLowBackup=lptxaelpI整改建議將參數(shù)android:allowBackup屬性設(shè)置為false,不能對應用數(shù)據(jù)備份。WebView漏洞應用中存在WebView漏洞，沒有對注冊JAVA類的方法調(diào)用進行限制，導致攻擊者可以利用反射機制調(diào)用未注冊的其他任何JAVA類，最終導致javascript代碼對設(shè)備進行任意攻擊。protectedWeb^iewcreateRe^restiablEViEwfZcnTexzarj4r二二二二二argS^{vveliViewvO=super.crcBteRerr^shableVi-ew{BD54rargSJ:return訕；整改建議通過在Java的遠程方法上面聲明一個@JavascriptInterface來代替addjavascriptInterface；在使用js2java的bridge時候，需要對每個傳入的參數(shù)進行驗證，屏蔽攻擊代碼；Note：控制相關(guān)權(quán)限或者盡可能不要使用js2java的bridge。關(guān)鍵數(shù)據(jù)明文傳輸應用程序在登錄過程中，使用http協(xié)議明文傳輸用戶名和密碼，并未對用戶名和密碼進行加密處理。通過監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)就可以截獲到用戶名和用戶密碼數(shù)據(jù)，導致用戶信息泄露，給用戶帶來安全風險。Content-Lengih：TOCentcm-Type:貞口口lication/x-www-form-ur1encoded匚如：Ke*p-AliwUser-^gem:Apiche-KtteCLient/UHAVAILABLE(j*va1.4)整改建議在傳輸敏感信息時應對敏感信息進行加密處理任意賬號注冊使用手機號133*****887注冊某個APP，獲取驗證碼46908；在確認提交時，攔截請求，修改注冊的手機號碼，即可注冊任意賬號，這里修改為1338*****678（任意手機號）；

Etm/i.iPOSThttp：/-Etm/i.iPOSThttp：/-AUTH-IEES-ID:S3TAdffafd占凸冊6￡他J±fb到9陰頭fl1CGnitriT-LwiBitt：1弭Cantc：nt-T>pe：a^plicjiti<m/i^mw-form^urlcneededCmneciivn-Keep--AlivuUsrr-Asctit:ftpachc-KltpCLirnt/UNft^iLfthLE(joval.fl)isLoftin=lti：5t-rnajKisLoftin=lti：5t-rnajK;創(chuàng)卿irl亟MHH-LSER-ID:S3Iti佗兔辺4旣砧99拴fL39953itf71駅站切1吒Fngth：L帥Cantent*Type：apoli-catiact/himr-fara-urJencodedHast：U'sir-XEirrt:Aja^h?imt/UNA.VAllftBLE(jsva1,4}分別使用133*****887和133*****678（任意手機號）登錄，均可以通過驗證登錄，看到最終結(jié)果。整改建議注冊過程最后的確認提交時，服務器應驗證提交的賬號是否是下發(fā)驗證碼的手機號。登錄界面可被釣魚劫持應用存在釣魚劫持風險。應用程序沒有做防釣魚劫持措施，通過劫持應用程序的登錄界面，可以獲取用戶的賬號和密碼，可能導致用戶賬號信息的泄露。關(guān)貼戲因F■10:33□電話號碼￥密碼提示若顯示此懸浮框則說明謹界面可被劫持關(guān)閉注冊忘記密碼整改建議：應用程序自身通過獲取棧頂activity，判斷系統(tǒng)當前運行的程序，一旦發(fā)現(xiàn)應用切換（可能被劫持），給予用戶提示以防范釣魚程序的欺詐。獲取棧頂activity（如下圖），當涉及敏感activity（登錄、交易等）切換時，判斷當前是否仍留在原程序，若不是則通過Toast給予用戶提示。ComponentNamecn=（（ActivilyHanager）getSystemSerce（Cantejct））-getRunningTasks（1）.get（^）.topActivity;使用HTML5架構(gòu)或android+HTML5混合開發(fā)，實現(xiàn)登陸、支付等關(guān)鍵頁面，降低被劫持的風險。有爭議的整改建議在實施整改過程中，運營商、APP廠商及安全廠商之間就如下幾點存在爭議：關(guān)鍵數(shù)據(jù)明文傳輸根據(jù)客戶測評結(jié)果以及移動終端APP廠商理解，目前的數(shù)據(jù)安全問題可為：客戶端安全（數(shù)據(jù)錄入）。客戶端到服務器安全（數(shù)據(jù)傳輸）。服務器端安全（數(shù)據(jù)存儲）。而關(guān)鍵數(shù)據(jù)明文傳輸屬于客戶端數(shù)據(jù)錄入安全，針對此部分，目前不僅是移動終端APP，包括Web安全方面，對此部分要求也是不一而分，具體可以體現(xiàn)為：具有現(xiàn)金流的交易平臺：此類業(yè)務安全級別要求最高，在數(shù)據(jù)傳輸方面也是目前做得最好的。主要代表是：淘寶、京東、各大銀行網(wǎng)銀等具有較大社會影響力的平臺：此類業(yè)務安全級別低于上述業(yè)務，但由于賬戶數(shù)據(jù)丟失以后，對其自身以及社會影響較大，所以在傳輸上也不會采取明文傳輸。如：百度、騰訊等。數(shù)據(jù)丟失本身不會造成較大的影響的平臺：此類業(yè)務賬戶數(shù)據(jù)本身價值不大，丟失以后也不會造成影響，或者本身不會受到太大關(guān)注，一般都不會對傳輸數(shù)據(jù)進行加密。這樣的例子比比皆是。當然也有廠商提出，明文傳輸在某些專業(yè)的漏洞檢測和通報的網(wǎng)站上，是不屬于安全漏洞的，為了驗證此異議，在某平臺上提交了一份關(guān)于明文傳輸?shù)穆┒?，得到的結(jié)果請看下圖：發(fā)布喜戶賬戶信皂泄謁QTVA-2015-2868082015年08月20日登錄界面釣魚劫持APP應用存在釣魚劫持風險。應用程序沒有做防釣魚劫持措施，通過劫持應用程序的登錄界面，可以獲取用戶的賬號和密碼，可能導致用戶賬號信息的泄露。這一條檢測結(jié)果，最大的爭議在于按照整改建議整改以后，對一般用戶來說，沒有任何作用。首先，我們了解一下釣魚劫持如何產(chǎn)生。Android釣魚原理需要理解，Android啟動一個Activity時，是這樣設(shè)計的，給Activity加入一個標志位FLAG_ACTIVITY_NEW_TASK，就能使它臵于棧頂并立馬呈現(xiàn)給用戶。但是這樣的設(shè)計卻有一個缺陷。如果這個Activity是用于盜號的偽裝Activity呢？這種現(xiàn)象在XcodeGhost事件中，已經(jīng)被證實是可以實現(xiàn)的。在Android系統(tǒng)當中，程序可以枚舉當前運行的進程而不需要聲明其他權(quán)限，這樣的話，就可以編寫一個程序，啟動一個后臺的服務，這個服務不斷地掃描當前運行的進程，當發(fā)現(xiàn)目標進程啟動時，就啟動一個偽裝的Activityo如果這個Activity是登錄界面，那么就可以從中獲取用戶的賬號密碼，具體的過程如下圖：

標志位當前的activityactivityQl覽先顯示為當前的drctiwilYProgram:用于掃描燧程掃描具有特殊功tEffJa-ctivityFLAG_ACTIVITY_NEW_m$KactivityD2標志位當前的activityactivityQl覽先顯示為當前的drctiwilYProgram:用于掃描燧程掃描具有特殊功tEffJa-ctivityFLAG_ACTIVITY_NEW_m$KactivityD2activity03activityQ4通卻偽裝的惡意程序偽裝的activity逬入標志誼檢測原理描述清楚以后，就需要給出讓軟件廠商能夠明白的整改建議以及漏洞情景重現(xiàn)。Android釣魚情景演示以小米手機為例：1.當打開3個APP時，最后一個打開的APP”語音助手”,切換至手機桌面，長按HOME鍵查看進程，”語音助手”會顯示在進程的第一個。2.點擊”微信”以后，切換至”微信”，再查看進程，：2.點擊”微信”以后，切換至”微信”，再查看進程，：SM宇離桔手楙令確￡)可用f2G可以看到，進程中由于”微信”已切換至當前窗口，故進程◎B56M可用/2G◎B56M可用/2G中不存在3.可以從第1步看到，當切換至手機桌面時，無論是語手機令爐語音肋手音助手、手機令牌、還是微信，都是默認后臺運行，而且切

換出來以后無任何提示。這樣，當惡意activity收到微信登錄

界面或者其他敏感界面的時候，就會搶先推送至客戶，從而

讓客戶輕易的輸入了帳號，并獲取了客戶的信息，但此時微信不會做任何提示4?再來觀看一下某行手機APP,當切換至手機桌面時，

會對客戶做出提示。如下圖：撥號短信測覽器建行手機銀行仍在后臺運各如需退岀」請先進入建行手機銀行T會對客戶做出提示。如下圖：撥號短信測覽器建行手機銀行仍在后臺運各如需退岀」請先進入建行手機銀行T搖手機“返回鍵”退岀。假設(shè)一下頁面是惡意推送的activity,那么在惡意推送的APP頁面，應該會顯示出此類提示，告知客戶，此頁面并非正常APP的頁面。用戶打開正常頁面vs用戶打開了惡意頁面￥轉(zhuǎn)賬匯款我的賬戶它賬戶安全中心手機銀行￥轉(zhuǎn)賬匯款我的賬戶它賬戶安全中心手機銀行貼心的銀行服務「帶給您更璽全、便捷前絢能金融