移动APP安全测试要点..docVIP

随着运营商新技术新业务的发展，运营商集团层面对安全的要求有所变化，渗透测试工作将会面临内容安全、计费安全、客户信息安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多，这些APP可能并不会通过应用市场审核及发布，其中的安全性将面临越来越多的挑战。 这个问题也引起了运营商的足够重视，已经自主开发了自动化检测工具及定期的APP安全测试评估工作。在此，绿盟科技博客特别邀请到移动APP安全测试专家，让他们结合一次Android APP安全测试实例，为大家讲解评估特点，并将评估检查点、评估细节和整改建议一一列出，给大家提供移动终端APP安全测试的思路。 评估思路 移动APP面临的威胁 风起云涌的高科技时代，随着智能手机和iPad等移动终端设备的普及，人们逐渐习惯了使用应用客户端上网的方式，而智能终端的普及不仅推动了移动互联网的发展，也带来了移动应用的爆炸式增长。在海量的应用中，APP可能会面临如下威胁： 新技术新业务移动APP评估思路 在这次的移动APP安全测试实例中，工作小组主要通过如下7个方向，进行移动终端APP安全评估： 运营商自动化APP测评思路 运营商自主开发的自动化APP安全检测工具，通过”地、集、省”三级机构协作的方式，来完成移动终端APP安全检测与评估。APP测试思路如下： 安全检测要点 Allowbackup漏洞 AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为true时，用户可通过adb backup来进行对应用数据的备份，在无root的情况下可以导出应用中存储的所有数据，造成用户数据的严重泄露。 整改建议 将参数android:allowBackup属性设置为false，不能对应用数据备份。 WebView漏洞 应用中存在WebView漏洞，没有对注册JAVA类的方法调用进行限制，导致攻击者可以利用反射机制调用未注册的其他任何JAVA类，最终导致javascript代码对设备进行任意攻击。 整改建议 通过在Java的远程方法上面声明一个@JavascriptInterface 来代替addjavascriptInterface； 在使用js2java的bridge时候，需要对每个传入的参数进行验证，屏蔽攻击代码； Note ：控制相关权限或者尽可能不要使用js2java 的bridge 。 关键数据明文传输 应用程序在登录过程中，使用http协议明文传输用户名和密码，并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据，导致用户信息泄露，给用户带来安全风险。 整改建议 在传输敏感信息时应对敏感信息进行加密处理。 任意账号注册 使用手机号133*****887注册某个APP，获取验证码46908； 在确认提交时，拦截请求，修改注册的手机号码，即可注册任意账号，这里修改为1338*****678（任意手机号）； 分别使用133**887和133**678（任意手机号）登录，均可以通过验证登录，看到最终结果。 整改建议 注册过程最后的确认提交时，服务器应验证提交的账号是否是下发验证码的手机号。 登录界面可被钓鱼劫持 应用存在钓鱼劫持风险。应用程序没有做防钓鱼劫持措施，通过劫持应用程序的登录界面，可以获取用户的账号和密码，可能导致用户账号信息的泄露。 整改建议： 应用程序自身通过获取栈顶activity，判断系统当前运行的程序，一旦发现应用切换（可能被劫持），给予用户提示以防范钓鱼程序的欺诈。 获取栈顶activity（如下图），当涉及敏感activity（登录、交易等）切换时，判断当前是否仍留在原程序，若不是则通过Toast给予用户提示。 使用HTML5架构或android+HTML5混合开发，实现登陆、支付等关键页面，降低被劫持的风险。 有争议的整改建议 在实施整改过程中，运营商、APP厂商及安全厂商之间就如下几点存在争议： 1.关键数据明文传输 根据客户测评结果以及移动终端APP厂商理解，目前的数据安全问题可为： 客户端安全（数据录入）、客户端到服务器安全（数据传输）、服务器端安全（数据存储）。 而关键数据明文传输属于客户端数据录入安全，针对此部分，目前不仅是移动终端APP，包括Web安全方面，对此部分要求也是不一而分，具体可以体现为： 具有现金流的交易平台：此类业务安全级别要求最高，在数据传输方面也是目前做得最好的。主要代表是：淘宝、京东、各大银行网银等。 具有较大社会影响力的平台：此类业务安全级别低于上述业务，但由于账户数据丢失以后，对其自身以及社会影响