2015移动安全漏洞年报23p.pdfVIP

1/ 23 摘 要  54%的业界公开应用漏洞来自于工具类应用，31%来自于电商类应用，13%来自于金融类 应用，而游戏类应用被公开爆出的漏洞量最少，占比2%。  25%的业界公开应用漏洞爆发在应用客户端，且其中 23%是拒绝服务漏洞，容易引起应 用崩溃。71%的公开应用漏洞爆发在应用服务端。  18 个行业的Top10 应用，97%都存在漏洞风险，平均每个应用有87 个漏洞。应用的漏 洞量一直处于一个不降反增的状况，安全形势依旧不可忽视。  通用拒绝服务、寄生兽漏洞、WormHole 百度全家桶、XcodeGhost 等漏洞及安全事件无 一不在说明漏洞的潜在攻击面可能扩大。  2015 年Android 系统漏洞量呈爆发式增长，同比上涨1000%，随着越来越多的研究人员 关注移动安全领域，未来Android 系统漏洞量依然会保持在一个高水平。  StageFright 是Android 上真正主动利用可远程代码执行的漏洞，堪称移动平台的 “心 脏滴血”。提权漏洞依然是Android 系统安全的严重威胁。  iOS 漏洞研究者增加使2015 年iOS 系统漏洞同比上涨128%，据2009 年来首位。但苹果 对漏洞重视、且拥有分层的安全机制，用户及时升级就能防御大多数攻击。  沙箱逃逸文件注入、签名绕过、内核漏洞利用等多个漏洞配合才是完美越狱的基础。  未来，Android 整体安全机制在提升，但相较于iOS 系统，Android 系统的更新和普及 更为缓慢，用户无法享受新系统中更完善的安全机制，Android 系统安全形势依然严峻。 此外，iOS 安全的攻防对抗将在2016 年更加突出，更多更严重漏洞会推动 iOS 系统更 上一个台阶。 2/ 23 目录 摘 要2 第一章 2015 年应用漏洞4 1.1 业界公开的应用漏洞类型和分布4 1.2 移动应用漏洞分析5 1.3 典型应用漏洞10 1.4 应用安全事件11 1.5 应用漏洞的发展趋势12 第二章 2015 年Android 系统漏洞14 2.1 Android 系统漏洞综述 14 2.2 典型Android 系统漏洞15 2.3 Android 安全生态和漏洞展望 17 第三章 2015 年iOS 系统漏洞19 3.1 iOS 系统漏洞综述 19 3.2 典型iOS 系统漏洞20 3.3 iOS 漏洞展望 22 3/ 23 第一章 2015 年应用漏洞 1.1 业界公开的应用漏洞类型和分布 2015 是不平凡的一年，各界媒体对移动应用的漏洞关注度也越来越高，漏洞的产生不 仅带来用户设备与信息的安全影响，也给企业带来业务或声誉上的损失。 阿里聚安全每周对国内外50 家著名安全公司、媒体、漏洞平台的态势进行分析，国内 外移动安全事件和资讯的关注依然是围绕操作系统和移动应用的技术风险展开，其中国内更 加关注移动应用的漏洞风险。以下数据结论来自于阿里聚安全对业界风险态势的统计。 1. 行业分布 根据公开的漏洞数据统计，产生漏洞的应用所占行业比例与用户设备中安装的比例相似， 应用工具类APP 所产生的漏洞占比最高，达54%；游戏类应用漏洞占比最低，为2%，原因是 大部分用户手机中安装的游戏应用较少，且游戏类应用更新迭代速度快、漏洞不易被深入挖 掘。 图1 2015 年公开应用漏洞的行业分布 2. 漏洞类型 移动应用是连接用户与业务的桥梁，在智能设备中与用户直接交互，并通过通信链路传 输业务请求到后端服务器。安全研究者从移动应用为入口，对应用进行漏洞挖掘及业务安全 分析，数据显示大部分高风险漏洞爆发在服务端环节。 在2015 年公开的漏洞数据中，71%的漏洞集