近年來,隨著智能手機的普及,APP數量增長也是呈現出幾何式的增長,同樣APP風險各類事件也呈現出爆炸式的增長,各種漏洞消息此消彼長,漏洞類型層出不窮。而由于谷歌Android系統開源架構特性,安卓移動應用早已成為APP風險重災區。
目前的APP風險主要有服務端漏洞和客戶端漏洞兩種,在服務端漏洞方面主要有各種API接口引發的傳統WEB漏洞和利用無限制,直接攻擊服務端 ;在客戶端漏洞方面則有各種本地APP漏洞 ,利用可能需要交互或者借助安裝插入惡意APP。這些漏洞已經深深危害了APP開發商和開發者利益,漏洞不僅呈現出類型多,數量也多得嚇人。
近日,NAGAIN娜迦信息在移動安全極客沙龍上分享了安卓APP安全漏洞的自動化挖掘的最新研究報告。報告顯示Android APP的漏洞類型與數量繁多,諸如SQL注入、webview系列漏洞、文件模式配置錯誤、HTTPS不校驗證書、拒絕服務攻擊等。針對這些亂象,NAGAIN娜迦信息(www.nagain.com)經過幾年摸索和研究后,不斷完善APP漏洞的自動化挖掘技術,并在APP漏洞的自動化挖掘方面獲得了眾多成就。
據調查數據顯示,絕大多數APP都存在著安全漏洞,這可能會導致它們在未來感染嚴重的惡意病毒。根據惠普對來自600多家福布斯全球2000強企業的2100多個移動應用的調查分析,顯示90%的應用都有潛在漏洞,最常見的安全漏洞包括二次打包、后門注入風險、未加密數據儲存以及使用不安全的協議來傳輸數據等,這些漏洞不僅對開發者的利益和名譽構成威脅,同時也會對用戶的利益造成嚴重危害。
NAGAIN娜迦信息在2013年提出APP漏洞挖掘測試點規范化模板,在次年3月完成了漏洞挖掘輔助分析模塊,在APP靜態分析、動態監控上取得了空前的突破,之后NAGAIN娜迦信息陸續為國內多家銀行提供專業化的漏洞測試服務中,積累了大量的APP漏洞挖掘經驗,并結合這種經驗開發、推出了全自動化的APP安全掃描產品。在未來,NAGAIN娜迦信息會繼續深研APP安全漏洞的自動化挖掘技術,打造移動安全健康生態鏈。
京公網安備 11010502049343號