2014年移动安全漏洞报告.pdfVIP

首页需要设计一下 2014年度移动安全漏洞报告 阿里巴巴移动安全 目录 漏洞总体情况 重点行业漏洞解析 log 典型漏洞原理 漏洞发展趋势 o 应用漏洞 金融行业 安卓Fake ID系统漏洞 Webview 安卓Webview远程代码漏 系统层漏洞 游戏行业 Android OEM 洞 Android和iOS漏洞持续爆 漏洞风险分析 网购行业 iOS假面攻击 发 1 漏洞总体情况 • 约86%移动应用有漏洞，均值10个，高风险漏洞占33%。 应用 漏洞 • 各行业top5应用平均有25个漏洞，总漏洞量占整体市场 漏洞量15%。 • 2014年Android系统漏洞共11个，环比上涨57%。 系统 漏洞 • 2014年iOS系统漏洞共109个，环比上涨21% ，iOS系统 漏洞量高于Android系统890% ，iOS也不再安全。 漏洞 • 移动应用漏洞以Webview明文存储为主，占比40% ，大 风险 多知名应用含该漏洞，若被黑客利用 ，会影响数亿用户。 数据来源：阿里聚安全监控数据 1.1 应用漏洞 • 约86%的安卓移动应用含有漏洞，且以Webview明文存储漏洞为主。 • 安卓10000个应用共有97,983个漏洞，平均每个应用有10个漏洞。 top10000移动应用的漏洞类别和数量 Webview明文存储 38,660 Webview远程代码执行 log 19,510 拒绝服务 11,880 o SharedPrefs配置错误 11,542 HTTPS未校验证书 6,422 Webview未校验HTTPS证书 5,715 File模式配置错误 3,074 Thank You 调试开关未关闭 732 file跨域访 177 Database全局读写 151 无线万里来往，有道，必安全 文件目录遍历漏洞 54 弱加密 50 控件劫持风险 15 从sdcard加载dex 1 数据来源：阿里聚安全监控数据 1.1 应用漏洞