12月4日,360互联网安全中心发布《2014年金融证券类手机应用安全性评测报告》(以下简称《报告》),针对下载量TOP20的金融证券类应用进行了一次全方位的安全性测评。测评结果显示,其中有11款金融证券类应用在登陆时安全性存疑,占测试应用的55%。
360互联网安全中心对下载量最高的20款金融证券类手机应用做的安全测试主要包括WebView安全性、组件数据安全性、本地数据安全性和登录安全性4个主要方面的7项具体内容。
图一:下载量最高的20款金融证券类手机应用
两款应用存严重安全漏洞可致隐私泄露
WebView是用于浏览网页的控件,金融证券类应用一般并不需要将WebView导出给其他应用供以调用。由于安卓系统中WebView相关的漏洞频发,将WebView暴露在外会面临较大的风险。从结果分析来看,20款应用中有2款应用的WebView存在严重的安全漏洞。
图二:手机应用被钓鱼攻击后进入钓鱼页面
黑客可以利用暴露的且未被安全保护的WebView控件进行钓鱼攻击、使用代码执行漏洞进行攻击、同源绕过攻击等方式进行恶意攻击,从而窃取金融隐私数据,劫持交易等,进而谋取暴利。
20款应用存77个崩溃问题
Android四大基本组件分别是Activity,Service(服务),Content Provider(内容提供者),BroadcastReceiver(广播接收器)。这四大组件是安卓应用的主要攻击目标,在组件数据安全性测试分析中,共从20款应用中扫描出77个崩溃问题,其中Activity扫描出的崩溃问题最多,占总崩溃问题总数的61%,其次Broadcast 、Service,分别占比为26%,13%。
图三:20款金融类手机应用存在崩溃个数统计
此外,通过对自动化结果的人工筛选,还发现了一些可利用的高危漏洞,如本地账号密码泄露漏洞、功能接口暴露漏洞、大量组件暴露漏洞等。这些漏洞可致使手机用户的登陆账号密码外泄、接收虚假推送信息等,带来极大安全问题。
55%金融证券类手机应用登陆有风险
360互联网安全中心对20款应用的登陆安全问题进行了分析,其中4款应用不校验服务端证书,5款应用存在重放攻击问题,2款应用明文传输密码,3款应用在社交账号绑定后,微博登陆不校验服务端证书。
需要特别说明的是,对20款手机应用的测试中,使用HTTP协议传输的全部存在重放攻击问题,使用HTTPS协议传输的全部存在有服务器证书验证问题,仅有一款使用HTTP+自有协议的,暂未发现问题,即55%金融证券类手机应用登陆安全性存疑。
如果客户端在登录过程中不对服务端的身份(证书)进行校验,就有可能“信任”伪装身份的“冒牌服务端”,连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。也就是遭遇“中间人”攻击。
专家建议使用如下方法提升金融证券类手机应用安全性
第一,尽量不要将WebView组件设置为可导出,开发者在注册广播receiver时,不仅要限制发送方必须要有相应的权限,还应限制只有相同数字签名的应用程序才能申请该权限。
第二,若无必要需求,不要将大量组件接口数据暴露在外,否则会存在潜在的高危风险。开发者尽量不要将用户名和密码等敏感信息保存在本地,不要轻易赋予文件全局可读/写权限。
360互联网安全中心建议开发者采用比较完善的HTTPS加密机制,并使用时间戳或挑战-响应机制应对重放攻击。另外,手机用户一定要通过安全可靠的应用市场或官网下载金融证券类手机应用,避免下载安装到被恶意篡改的应用,一定要通过360手机卫士等安全软件保护手机使用安全。
详细报告地址:http://adc4mmmtpj.l7.yunpan.cn/lk/cA7u8f6cMB5AX