文/吳中超 徐文濤

APP被忽視的隱患

文/吳中超 徐文濤

26所高校APP安全狀況調(diào)查顯示，出現(xiàn)零次或1次問題的APP數(shù)量僅為5個

又是一年開學季，一批新學子即將走入“象牙塔”。如今的高校校園，校園APP已相當普及，成為新一屆大學生們獲取學校信息、融入校園生活的便捷通道。目前，全國很多高校都擁有了自己校園專屬的APP軟件，校園APP手機客戶端漸漸成為校園生活中重要的一部分。

社會上針對安卓平臺的黑客攻擊層出不窮，在此背景下，我們對國內(nèi)20多所高校的安卓平臺移動APP進行了初步審計，發(fā)現(xiàn)其中存在著諸多安全問題。

所收集的移動APP來自26所高校，其中，華北及東北地區(qū)6所，西北地區(qū)4所，華東地區(qū)7所，中南地區(qū)5所，西南地區(qū)4所；包括9所985工程高校和14所211工程高校。

APP安全問題

安卓系統(tǒng)是由Google公司開發(fā)的移動操作系統(tǒng)，自1.0版本發(fā)布至今不過十年時間，安全機制尚不如傳統(tǒng)Windows、Linux等系統(tǒng)成熟，而國內(nèi)安卓市場缺乏官方應用商店管理、廠商定制系統(tǒng)碎片化等因素進一步加劇了安卓系統(tǒng)與應用中存在的安全問題。安卓應用安全涵蓋面很廣，在本文中，我們主要研究四大類、十五種安全威脅，其潛在危害包括信息泄露、通信劫持甚至任意代碼執(zhí)行等（表1）。

表1 四大類安全問題

圖1

各高校APP安全狀況

代碼,如圖2所示。

經(jīng)逐一審計，各高校APP中存在安全問題較多，僅舉其中幾處例子：

1.某高校APP源代碼中自定義SSL x509 TrustManager，重寫checkServerTrusted和checkClientTrusted方法，方法內(nèi)不做任何服務端的證書校驗。攻擊者可以使用中間人攻擊獲取加密內(nèi)容,如圖1所示。

2.某高校APP的Webview存在本地java接口；Android的WebView組件接口函數(shù)addJavascriptInterface能實現(xiàn)本地java與js之間交互。在targetSdkVersion小于17時，攻擊者利用addJavascriptInterface這個接口添加的函數(shù)，可以遠程執(zhí)行任意

圖2

3.某高校APP訪問配置文件時使用getSharedPreferences打開文件，第二個參數(shù)設置為MODE_WORLD_WRITEABLE。當前文件可以被其他應用寫入，導致文件內(nèi)容被篡改，可能導致影響應用程序的正常運行或更嚴重的問題,如圖3所示。

表2 26所高校APP安全漏洞情況（空格表示該漏洞在該APP中不存在）

圖3

總體APP漏洞詳細結(jié)果如表2所示。

圖4 各類型漏洞數(shù)量

總覽與結(jié)論

根據(jù)表2的數(shù)據(jù)統(tǒng)計，可以看出，APP普遍缺乏加密保護，Webview存在本地Java接口、數(shù)據(jù)任意備份等問題也出現(xiàn)較多,如圖4所示。

按照漏洞出現(xiàn)次數(shù)，將APP統(tǒng)進行統(tǒng)計，其中出現(xiàn)20～29次漏洞的APP數(shù)量最多；僅出現(xiàn)零次或1次問題的APP數(shù)量為5個,如圖5所示。

可以看出，當前校園APP安全形勢不容樂觀，多個方面存在較大安全隱患，校方應針對典型中高危問題進行針對性修復。APP開發(fā)者安全意識有待加強，安全開發(fā)習慣需進一步提高。另外，在APP分發(fā)渠道上，校方也應加強管理，引導師生等使用者從官網(wǎng)下載APP，以防止第三方分發(fā)渠道可能存在的安全疏漏。

圖5 APP數(shù)量（按存在漏洞個數(shù)分類）

（作者單位為信息工程大學）