开发者学堂课程【互联网安全-移动APP漏洞风险与解决方案:移动APP风险现状】与课程紧密联系,让用户快速学习知识
课程地址:https://developer.aliyun.com/learning/course/357/detail/4192
移动APP风险现状
内容介绍:
一、常见风险现状
二、常见漏洞
一、常见风险现状
1、侵犯开发者合法权益与收入
举例:
类似图片的案例,我们曾遇到过一个游戏客户。之前客户反馈开发半年的游戏上线了之后,基本前两天在应用市场可以达到前三的位置,但是从第三天游戏排名达到应用市场前十的时候,就会出现与本游戏相似的其他游戏。
这些游戏除了签名、账户流程、账户注册、消费、广告系统不一样,但是游戏名字、游戏的系统逻辑玩法,分数排名是一模一样。当这个游戏在应用市场排名达到了前十名时,不久后,该游戏在各大应用市场纷纷上线,排名也由之前的前十逐步上升到前三。
这些盗版公司基本上将大部分的资源直接花费在了运营和推广上,借助正版游戏厂家的力量占据市场,获取收益,所以导致正版游戏厂家被挤压,收益减少,所投入的开发成本直接流失。
2、通过恶意广告插件骚扰用户、影响产品体验
当我们去应用商店去搜索较为热门的APP或者关键词时,应用市场就会推荐很多相似的应用软件。但是,区别性比较大的软件一打开可能就是一个广告,并且不断地向手机发送广告。而此应用生产者仅是利用此方法获取不当收益。
3、窃取用户隐私,如短信、电话、通讯录等
有些商家采取短期收益或是大量小收益行为。例如,在APP中插播恶意广告、插件或者是推广一些新的APP,进而诱导用户下载并通过申请包括短信、通讯录等手机权限,获取用户个人信息等。
而这个情况也会最大程度影响用户期待和出现市场量被破解和盗版问题的出现;
4、通过钓鱼盗取用户银行账户密码等
几乎相似的软件,例如银行证券类等相关软件,用户直接下载打开后填写信息后,基本上一天的时间,该用户就会出现账户进账户里的信息被盗走的情况。
二、常见漏洞
1、APP漏洞基本上是从APP应用诞生开始就会存在,不论是移动端的还是说我们传统模式的。
任何一个应用程序都会存在漏洞。由图可视,网上都可以搜得到类似漏洞,但我们所关注的敏感信息就先做了一些隐藏。而这些漏洞其实基本上是由人工审计上报列出来的。但仍然存在许多非常传统的漏洞,例如:本地数据库是否注入;敏感信息的存储传输,若加密,用户可能只采用了简单的MD5或者BASE64直接编码。
再由图可视,列举出来的大部分漏洞都是与业务逻辑所相关,例如:重置密码漏洞和一些算法破解。当算法被破解时,整个链路的请求协议都将会被伪造出来。