APP安全漏洞检测报告 渗透测试项

2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据上半年的安全检测以及漏洞测试分析发现,目前移动APP软件漏洞的发展速度上涨百分之30,大部分的APP漏洞都已被商业利用以及窃取用户隐私信息,造成APP软件的数据泄露,数据被篡改,等等。

我们来统计一下目前发现的APP漏洞:

第一个是就是SIM卡漏洞跟SS7 POC,恶意的攻击者在特有的手机环境中,向普通用户,且安装过该APP软件的发送短信,构造恶意的代码发送到用户手中,当用户接收这条短信的时候就会触发漏洞,利用手机浏览器植入恶意代码像APP信息搜集,用户当前手机号,电话簿收集,接收短信验证码来注册其他APP的账号,等等情况的发生。

第二个是IOS苹果系统的越狱漏洞,安全人员爆出A5,A系列处理器的苹果系统都会造成越狱,该漏洞称为bootrom漏洞,外界都称之为checkm8漏洞,该英语单词翻译为将死,如果被攻击者利用就可以将苹果系统越狱并获取用户的资料,包括苹果ID以及密码。该漏洞影响范围较广,包括iPhone4-iPhone X,也包括了苹果IPAD,该漏洞产生于硬件处理上,无法通过软件在线升级来修复。

第三个是Android本地提权漏洞,该漏洞可以造成攻击者很简单的就可以绕过系统的安全拦截,直接提权获取手机的root管理员权限,传播方式都是安装APP软件,来进行攻击,受影响的手机类型是小米,华为,oppo等手机厂商,不过该漏洞目前已经被google官方修复掉了。

第四个APP漏洞是IOS系统的利用链漏洞,某安全团队的分析研究发现,iphone之前存在15个安全漏洞,都是在条链上的,不过经过证实已经修复好了,这些IOS利用链漏洞存在2年多了,利用方式是用户只要访问某个网站页面就可以获取手机的信息,以及照片,联系人姓名,地址,短信内容,受影响人数较多。以上4个APP漏洞都存在于硬件和系统软件层面上,还有些漏洞是存在用户安装的APP软件里,像前段时间爆出的whatsapp软件GIF攻击漏洞,很多攻击者利用该漏洞对用户进行攻击,获取聊天记录以及个人资料,从而利用该漏洞也可以直接获取手机系统的权限。

Android还是IOS系统,都存在有漏洞,包括APP的漏洞,都与我们生活,使用习惯用联系,一旦APP有漏洞我们的用户隐私,和个人资料都可能会被泄露,在担忧有漏洞的同时也希望我们大家对安全也有所重视,如果担心自己的APP也存在漏洞,可以找专业的安全公司来检测APP的漏洞,国内像SINESAFE,启明星辰,绿盟都是比较不错的安全公司,对APP要及时的修复补丁,升级APP的版本等等的安全操作,APP安全的道路有你也有他。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏mukekeheart的iOS之旅

iOS学习——NSLog输出各种类型

在开发过程中,在调试过程中经常打印不出自己想要的数据格式,还时常报警告,所以整理了一下iOS中用NSLog打印各种数据类型的样式。 整型占位符说明 : %d ...

6320
来自专栏mukekeheart的iOS之旅

iOS学习——页面的传值方式iOS----KVC和KVO 详解

在iOS开发过程中,页面跳转时在页面之间进行数据传递是很常见的事情,我们称这个过程为页面传值。页面跳转过程中,从主页面跳转到子页面的数据传递称之为正向传值;反...

7120
来自专栏mukekeheart的iOS之旅

iOS学习——iOS项目增加新的字体

  在项目开发过程中,iOS系统自带的字体库可能不适应需求,需要导入其他的字体库。下面是iOS项目增加新的字体的基本思路,基本上分为三步:

5220
来自专栏小卷毛进阶历程

Flutter学习--基础控件

在开始使用flutter之前,需要熟悉dart语法,然后就开始学flutter的基础控件了.

14270
来自专栏用户5948733的专栏

手机删了短信怎么恢复?巧用方法就能恢复

  手机删了短信怎么恢复?我们现在使用短信的次数逐渐减少,甚至已经有人开始不用短信,有时候我们经常收到很多垃圾短信,但是对于在手机里面的短信来讲还是有些重要的,...

9840
来自专栏华章科技

为什么要扫描我的脸?谷歌收集面部数据,引爆隐私问题

谷歌最新的智能显示屏最近出了一项备受争议的新功能Face Match,它是在谷歌Nest Hub Max上推出的。Face Match使用智能显示屏的前置摄像头...

8710
来自专栏用户5948733的专栏

iPhone误删通讯录怎么恢复?说出来可能你不信

  iPhone误删通讯录怎么恢复?很多苹果用户在刚使用的时候对一些操作有些不熟悉,这样可能就会因为一些误操作将手机中的数据删除了,可是当要找回删除的数据怎么办...

8720
来自专栏原创

iOS13 即将到来,iOS 推送 DeviceToken 适配方案详解

随着苹果iOS13系统即将发布,个推提前推出DeviceToken适配方案,以确保新版本的兼容与APP推送服务的正常使用。iOS13的一个重要变化是"[devi...

28040
来自专栏数据森麟

从6730个微信用户中分析出大家的手机使用习惯

之前写了一篇分析小程序用户微信名的文章,从00-90后的微信昵称,发现如下规律。。。大家反响很大,喜欢不喜欢的都有,全网各个平台(微信+网站)总浏览量超10万,...

10020
来自专栏mukekeheart的iOS之旅

iOS学习——#define、const、typedef的区别

在iOS开发中经常遇到一些字段和类型的定义,例如配置生产和测试不同环境的参数等,这时候经常用到#define、const以及typedef。那么它们之间有什么区...

6740

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励