移动APP 安全评估 1) 范围 开发单位统筹建设的1 款移动APP 软件(包括APP 内嵌的安卓版和IOS 版应用)以及APP 管理平台
2) 实施内容 随着互联网时代的到来,智能手机和iPad 等移动终端设备越来越普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用APP 的爆炸式增长
这些海量的APP 可能会面临如下威胁: 图 移动APP 面临的威胁 随着智能终端的不断普及,国内智能手机用户已经超过 5 亿,作为第一大系统平台的Android 上,各类 apk 应用数量也在飞速增长
在应用数量和APP 应用种类丌断扩大的同时,Android 作为一个开放系统,各类应用安全问题也丌断的涌现,例如安装包逆向反编译,恶意代码注入,应用盗版,界面劫持,短信劫持,丌仁开发者的知识版权也无法得到保证,而丏还会导致用户的信息泄露甚至经济损失
手机应用的安全需求,已经成为整个应用市场发展面临的一个主要问题
虽然获知当前应用市场的安全现状,但由于手机应用安全的与业性,普通开发者和用户可能无法全面了解到 apk 中的安全风险和漏洞,难以对手机应用安全作出深入的评估分析,更加无法对其中的安全问题逐一解决,而与业的移劢应用安全工程师人才稀少幵丏成本较高,无法满足应用开发的实际需求
以 Android APP 为例,其安全问题不容乐观
从漏洞类别来看,Android APP 漏洞中排在首位的是 sql 注入类漏洞,占比 38
2%,其次是 w ebview 漏洞,占比 35
4%,见图 1
从漏洞风险级别来看,Android APP 中高危漏洞占 20
7%,低危漏洞占 79
3%,其中高危漏洞主要集中在 w ebview 系列和 https 证书未校验上
SQL 注入类漏洞占比 38
2%,主要是代码中未过滤用户输入,攻击者可通
