据6月13日消息,在第四届腾讯安全国际技术峰会(TenSec 2019)上,腾讯安全科恩实验室发布了《2018年Android应用安全白皮书》(以下简称如《白皮书》),白皮书显示,98%以上的Android应用存在安全风险,其中音视频播放应用风险最高。
《白皮书》 基于腾讯安全科恩实验室自主研发的Android应用自动化漏洞扫描系统ApkPecker,选取2018年下载量较高的1404个App应用进行漏洞扫描。
结果发现,超过98%的应用程序存在不同类型的漏洞。
造成安全风险的主要原因包括系统开发存在隐患、漏洞监控困难、防雷能力不足、修复管理滞后等。
其中,音视频播放Android应用存在安全风险最多,其次是通讯、社交和网络购物应用。
与其他类型的移动应用相比,这三类应用具有更丰富的产品功能和交互方式,并且具有更高的用户粘性。
一旦安全风险发生,对用户影响的程度和范围将远远超出预期。
根据Android应用自动化漏洞扫描系统ApkPecker的检测数据显示,Android应用面临的安全风险主要分为应用场景漏洞利用、服务后台漏洞攻击等。
其中,《白皮书》表明,在本次对1,404个Android应用程序进行样本测试,发现用户信息保密机制的缺失增加了移动应用程序的安全压力。
由此引发的安全事件频发,给用户的信息账户和资金带来了极大的危害。
同时,《白皮书》还针对当前移动应用中经常出现的数据泄露、组件间通信、SDK和Native第三方库漏洞等安全风险,根据触发场景进行了详细分析。
安全风险,指出在检测到的1404个样本中,74%的应用存在拒绝服务攻击的风险。
开发者对公共组件外部输入数据的验证和异常处理是组件间通信中恶意安全事件的主要原因。
还会增加漏洞组合利用的风险,导致更大规模的信息泄露。
由于移动应用开发者在直接调用第三方库进行应用开发时不注重代码的安全性,导致近50%的测试样本存在SDK库漏洞,其中超过58%存在SDK库漏洞。
应用受到Native库漏洞的威胁,大大增加了APP安全管理的难度。
其碎片化、难以追溯甚至可能导致安全风险的恶性循环。