2019年第三季度以來,APP漏洞檢測中心發現許多APP被檢測出含有高危漏洞,包括目前漏洞比較嚴重的SIM卡漏洞以及安卓端、IOS端漏洞,根據上半年的安全檢測以及漏洞測試分析發現,目前移動APP軟體漏洞的發展速度上漲百分之30,大部分的APP漏洞都已被商業利用以及竊取使用者隐私資訊,造成APP軟體的資料洩露,資料被篡改,等等。
我們來統計一下目前發現的APP漏洞:
第一個是就是SIM卡漏洞跟SS7 POC,惡意的攻擊者在特有的手機環境中,向普通使用者,且安裝過該APP軟體的發送短信,構造惡意的代碼發送到使用者手中,當使用者接收這條短信的時候就會觸發漏洞,利用手機浏覽器植入惡意代碼像APP資訊搜集,使用者目前手機号,電話簿收集,接收短信驗證碼來注冊其他APP的賬号,等等情況的發生。
第二個是IOS蘋果系統的越獄漏洞,安全人員爆出A5,A系列處理器的蘋果系統都會造成越獄,該漏洞稱為bootrom漏洞,外界都稱之為checkm8漏洞,該英語單詞翻譯為将死,如果被攻擊者利用就可以将蘋果系統越獄并擷取使用者的資料,包括蘋果ID以及密碼。該漏洞影響範圍較廣,包括iPhone4-iPhone X,也包括了蘋果IPAD,該漏洞産生于硬體處理上,無法通過軟體線上更新來修複。
第三個是Android本地提權漏洞,該漏洞可以造成攻擊者很簡單的就可以繞過系統的安全攔截,直接提權擷取手機的root管理者權限,傳播方式都是安裝APP軟體,來進行攻擊,受影響的手機類型是小米,華為,oppo等手機廠商,不過該漏洞目前已經被google官方修複掉了。
第四個APP漏洞是IOS系統的利用鍊漏洞,某安全團隊的分析研究發現,iphone之前存在15個安全漏洞,都是在條鍊上的,不過經過證明已經修複好了,這些IOS利用鍊漏洞存在2年多了,利用方式是使用者隻要通路某個網站頁面就可以擷取手機的資訊,以及照片,聯系人姓名,位址,短信内容,受影響人數較多。以上4個APP漏洞都存在于硬體和系統軟體層面上,還有些漏洞是存在使用者安裝的APP軟體裡,像前段時間爆出的whatsapp軟體GIF攻擊漏洞,很多攻擊者利用該漏洞對使用者進行攻擊,擷取聊天記錄以及個人資料,進而利用該漏洞也可以直接擷取手機系統的權限。
Android還是IOS系統,都存在有漏洞,包括APP的漏洞,都與我們生活,使用習慣用聯系,一旦APP有漏洞我們的使用者隐私,和個人資料都可能會被洩露,在擔憂有漏洞的同時也希望我們大家對安全也有所重視,如果擔心自己的APP也存在漏洞,可以找專業的安全公司來檢測APP的漏洞,對APP要及時的修複更新檔,更新APP的版本等等的安全操作,APP安全的道路有你也有他。