Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

APP漏洞报告 安卓及IOS端漏洞分析与统计报告



        2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危

漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据
上半年的安全检测以

及漏洞测试分析发现,目前移动APP软件漏洞的发展速度上涨
百分之30,大部分的APP漏洞都已

被商业利用以及窃取用户隐私信息,造成APP软件
的数据泄露,数据被篡改,等等。
 
 
我们来统计一下目前发现的APP漏洞:
 
第一个是就是SIM卡漏洞跟SS7 POC,恶意的攻击者在特有的手机环境中,向普通用户,且安装

过该APP软件的发送短信,构造恶意的代码发送到用户手中,当用户接
收这条短信的时候就会触

发漏洞,利用手机浏览器植入恶意代码像APP信息搜集,
用户当前手机号,电话簿收集,接收短

信验证码来注册其他APP的账号,等等情况
的发生。
 
 
第二个是IOS苹果系统的越狱漏洞,安全人员爆出A5,A系列处理器的苹果系统都会造成越狱,该

漏洞称为bootrom漏洞,外界都称之为checkm8漏洞,该英语单词翻译
为将死,如果被攻击者利

用就可以将苹果系统越狱并获取用户的资料,包括苹果ID
以及密码。该漏洞影响范围较广,包

括iPhone4-iPhone X,也包括了苹果IPAD,该
漏洞产生于硬件处理上,无法通过软件在线升级

来修复。

 
 
第三个是Android本地提权漏洞,该漏洞可以造成攻击者很简单的就可以绕过系统的安全拦截,直

接提权获取手机的root管理员权限,传播方式都是安装APP软件,
来进行攻击,受影响的手机类型

是小米,华为,oppo等手机厂商,不过该漏洞目前
已经被google官方修复掉了。
 
 
第四个APP漏洞是IOS系统的利用链漏洞,某安全团队的分析研究发现,iphone之前存在15个安全

漏洞,都是在一条链上的,不过经过证实已经修复好了,这些IOS利
用链漏洞存在2年多了,利用

方式是用户只要访问某个网站页面就可以获取手机的
信息,以及照片,联系人姓名,地址,短信内

容,受影响人数较多。以上4个APP漏
洞都存在于硬件和系统软件层面上,还有些漏洞是存在用户

安装的APP软件里,像
前段时间爆出的whatsapp软件GIF攻击漏洞,很多攻击者利用该漏洞对用户

进行攻
击,获取聊天记录以及个人资料,从而利用该漏洞也可以直接获取手机系统的权限
 

 
Android还是IOS系统,都存在有漏洞,包括APP的漏洞,都与我们生活,使用习惯用联系,一旦

APP有漏洞我们的用户隐私,和个人资料都可能会被泄露,在担忧有
漏洞的同时也希望我们大家对

安全也有所重视,如果担心自己的APP也存在漏洞,
可以找专业的安全公司来检测APP的漏洞,国

内像SINESAFE,启明星辰,绿盟都是
比较不错的安全公司,对APP要及时的修复补丁,升级APP

的版本等等的安全操作,
APP安全的道路有你也有他。
 
分享: