能信安资讯: 2019年已经结束,在这一年个人信息安全备受关注,随着国际、国内网络安全事件频发,盗版APP、恶意破解、APP劫持、数据泄漏、移动业务攻击等等……各种状况层出不穷。我们开始重视移动应用安全合规问题,在政策法规的驱动下,各监管机构对移动应用监管问题也提出了更高要求。
根据全球各地频发的移动应用安全事件,能信安整理了2019年10起国内外最受关注、规模较大的移动应用数据泄露、APP劫持、业务攻击等事件。
值得注意的是,本文仅列举了十大被关注的移动安全事件,而在2019年还发生了许多其他未被披露的类似事件,这意味着移动互联安全问题比你想象的要多很多,您可能也正在被影响……
随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”,而黑客攻击手段也在不断进化,引发了一系列移动应用安全挑战,今天,我们一起来回顾一下。
1App专项治理:100款App违法采集被下架
事件时间:2019年5-11月
事件回顾:
为切实治理个人信息保护方面存在的乱象,四部委联合开展“App违法违规收集使用个人信息专项治理”行动,要求各监管机构对于App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。
今年5月至11月,各级版权执法部门会同网信、通信、公安等部门,围绕当前互联网版权治理热点难点开展多个领域专项整治,删除侵权盗版链接110万条,收缴侵权盗版制品1075万件,查处网络侵权盗版案件450件,其中查办刑事案件160件、涉案金额5.24亿元。
其中在公安机关集中整治违法采集个人信息,包括100款APP被下架。
2奔驰App被爆安全漏洞,可看到其他****
事件时间:2019年10月
事件回顾:
奔驰车主表示,在10月18日的时候,移动App上出现了不是自己的汽车和****,其中所记录的信息非常详细,除了汽车的序号、车主姓名和联系方式外,还有位置更新信息等等。据悉,这一问题持续了几个小时。
换个说法就是APP给你打开了一扇“窗”,让你可以窥探到其它奔驰车主的生活。
3同性社交App热拉泄露530多万用户数据
事件时间:2019年3月
事件回顾:
3月28日,热门同性交友应用热拉被披露,因其服务器未受密码保护,其应用数据库泄露,涉及530万用户的个人资料及隐私数据遭到泄露。
GDI Foundation的安全研究员Victor Gevers表示,该应用包含530万用户资料的数据库被泄露且数据库自2018年6月就已被泄露。
每条记录包括用户昵称、出生日期、身高和体重、民族、以及性取向和爱好。若用户授权,记录还包括用户的精确地理位置。数据库另外还包含2000多万条状态更新,其中也包含隐私数据。
2017年5月,热拉曾从应用商店下架。一年后,热拉又重回应用商店。
Gevers表示,这五百多万的LGBTQ+人群面临诸多社会挑战,这次的数据泄露已存在较长时间,对那些隐私遭到泄露的人造成的伤害更加严重。
4超百家中国网贷App泄漏逾百万用户资料
事件时间:2019年7月
事件回顾:
近年来随着网贷的流行,用户只需使用手机App便可以轻松地借到钱因而也广受好评。7月,有研究人员发现有大量网贷App泄漏了个人信息,或将对百万计用户造成影响。
据SafetyDetective研究人员Anurag Sen报告称,网上有一个容量高达889GB的“巨型数据库”,其中内含超过460万网贷App用户数据,包括用户个人联系方式,财务信息(包括借贷记录,风险管理数据,交易详情),除此之外还包括用户个人联系人列表,短信记录,IMEI编号以及相关的容量数据,甚至每次登入时的地理位置都还在不断更新之中,因此如果有犯罪分子有意对特定用户进行监控,其甚至可以追踪用户的实时位置。这个资料库位于阿里云且并未经过加密,研究人员表示这可能会造成大量的个人资料泄漏。
5
Twitter安卓APP出现漏洞,可用1700万个电话号码匹配到用户账户
事件时间:2019年12月
事件回顾:
一名安全研究员表示,他利用Twitter安卓应用程序中的一个漏洞,将 1700 万个电话号码与Twitter用户账户进行了匹配。
研究人员Ibrahim Balic发现,可通过Twitter的联系人上传功能上传生成的完整的电话号码列表。如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。
Balic表示,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能就是为了阻止这种匹配的一种方法。然而,Balic前后相继生成了 20 多亿个电话号码,然后将这些号码随机分配,并通过安卓应用将它们上传到Twitter上。
在过去的一年里,Twitter已经发生多起安全事故。今年 5 月份,Twitter承认向一个合作伙伴提供了账户位置数据,即使用户选择不共享他们的数据。今年 8 月,该公司表示,无意中向其广告合作伙伴提供了更多的数据。
6
WhatsApp严重漏洞曝光,允许黑客永久删除群组聊天记录
事件时间:2019年11月
事件回顾:
heck Point研究人员发现WhatsApp存在严重漏洞,允许黑客反复破坏群聊成员应用程序,并永久删除群组聊天记录。
据悉,该漏洞位于XMPP通信协议中,黑客可通过合法渗透测试工具访问WhatsApp流量,解密机密参数并将其转换为纯文本格式。
此外,黑客还能利用该技术更改群组成员电话号码,使用特殊字符代替数字,并通过发送具有无效号码的消息导致应用程序循环崩溃。如需恢复WhatsApp正常运行,只能强制卸载并重装群组成员WhatsApp,删除触发漏洞的恶意群组。
7“全能车”APP让共享单车损失3亿
事件时间:2019年11月
事件回顾:
上海警方查处了一款名叫“全能车”的APP,据称该APP造成共享单车公司损失约 3 亿元,已有3名犯罪嫌疑人因涉嫌破坏计算机信息系统罪被批准逮捕。这款号称“交一次押金即可解锁多款共享单车”的APP,在表面上“便利”用户,背后却隐藏了巨大的安全隐患,甚至还牵涉不正当竞争纠纷……
早在2017年,一款名为“全能车”的APP出现。根据天眼查信息,该款APP由“深圳前海鸿图科技有限公司”运营。致力于整合市面上主流共享单车品牌,只需一款软件缴纳一份押金即可使用多种共享单车,最大限度调用共享单车资源,帮助用户减少使用成本。资料显示,高峰期,该款APP可打开近20家共享出行企业单车锁。然而,这样一款“实惠便民”的APP,却引来了广泛质疑。多个共享单车品牌均表示未提供授权,也未开展相关合作。
上海市闵行区警方近日接到相关单车企业报案,称“全能车”严重影响了公司正常服务。接报后,警方组成专案组,对该软件平台开展海量数据分析、电子数据勘查取证。经查,这款所谓全能的共享单车软件,并没有线下单车实体,实际为侵入报案公司的共享单车服务器的黑客软件。操控该软件的犯罪团伙,以低于共享单车包月服务费的方法吸引用户,并通过破解其他企业软件的方式使用各品牌的共享单车。用户交的钱则进了“全能车”自己的腰包。
今年8月底专案组跨省追踪,抓获犯罪嫌疑人李某、张某、胡某等14名犯罪嫌疑人员,现场查获68台服务器。目前,3名犯罪嫌疑人被依法批准逮捕,11名犯罪嫌疑人被依法采取强制措施。据上海警方披露,该软件造成共享单车公司损失约3亿元。
8违规收集儿童隐私 “抖音国际版”TikTok在美受重罚
事件时间:2019年2月
事件回顾:
2019年2月27日,美国联邦贸易委员会(FTC)发布一条针对抖音海外版TikTok的处罚,由于其违反了儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集13岁以下用户的姓名、电子邮件以及其他个人信息,罚款570万美元。
9墨迹天气因数据问题IPO失败
事件时间:2019年10月
事件回顾:
10月11日,证监会发布的第十八届发审委2019年第142次会议审核结果公告,公告显示在此次进行审核的几家公司中,仅北京墨迹风云科技股份有限公司(后文简称“墨迹科技”)未通过审核。
墨迹科技旗下墨迹天气App是一款天气类App,拥有5.56亿的累计装机量的墨迹天气在同类App中占据龙头位置。墨迹科技于2016年正式提交申请IPO,却最终碰壁。碰壁的同时,证监会发审委同时进行了询问,面对询问墨迹科技不得不面对自己的问题。
证监会发审委向墨迹科技提出了四点问题,其中第二点问题引起了广泛关注:获取用户数据的手段及方式是否合法合规?使用用户数据是否合法合规?是否存在侵犯用户隐私或数据的的情况?是否出现过个人信息、隐私泄露事件?针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可?
数据合规问题可以说直接命中了墨迹科技的软肋。2019年7月16日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》;9月份,在公安部网络安全保卫局等多个部门联合主办了“2019年网络安全专题发布会”上墨迹天气再次因涉嫌超范围采集公民个人隐私被点名。
10拼多多系统漏洞被薅羊毛损失千万
事件时间:2019年1月
事件回顾:
1月20日凌晨,拼多多被传出现重大BUG,用户可领100元无门槛券。从1月20日凌晨到当天上午9点,拼多多网站每一位注册用户可以通过微信渠道、网页端、QQ渠道等,领取面值为100元的优惠券,该优惠券适用该网站的商品。有用户发现,使用该优惠券后,充值百元话费可实现用0.46元充值100元话费,且可以通过新账号的方式无限制领券。于是,大量网友上线以此方式充值。除了话费充值,网友还购买了Q币、航天钞、油卡等保值商品,有网友还通过重复注册账号的形式,多次反复领取了拼多多的百元优惠券,有未经证实的截图显示,有网友在1月20日当天充值了5万多元的Q币和3万多元的油卡。
(*以上内容搜集自网络)
在梳理了这十大APP安全事件后发现,移动安全事件不仅发生的频率未减,被影响的规模还在不断扩大。
针对移动应用常见的安全问题,能信安设计了针对性产品及整体安全解决方案:
一、移动应用安全漏洞扫描及风险评估系统(MSCAN)
-
MSCAN是能信安科技基于移动应用安全领域多年的经验和技术研究积累,面对新的移动应用网络安全形势研发出来的新一代智能安全产品。
-
MSCAN采用移动APP动态模糊检测技术、漏洞智能识别技术、漏洞动态验证技术、主动探寻移动应用APP服务端漏洞等技术;全面支持Android/iOS应用,可对微信公众号和订阅号,HTML5,Web服务端进行多维度的安全漏洞扫描,并全面、快速、自动地生成安全风险评估报告;评估报告包含了漏洞描述、危害和修复建议等内容,为广大移动应用APP厂商、第三方用户、移动应用APP测试/安全管理人员对移动应用系统进行安全风险评估提供了便利。
二、移动应用安全加固平台(MASS)
-
MASS利用先进的安全加固手段,实现反编译、反调试、反篡改等安全功能,抵御隐私数据窃取等恶意行为。
-
MASS支持全自动的移动应用安全加固,用户可以一键上传APP ,平台自动加固后即可以下载加固后的安装包。同时,平台也支持自定义加固策略配置,用户可以对加固策略进行深度定制,支持无壳机器码加固技术。
-
无壳机器码加固是能信安自主研发的加固技术,其原理是根据APK反编译后的Dalvik Bytecode 的语法特点,设计出了抽取指令并转换成为机器码的算法,把转换后的机器码重新与反编译后的APK重新合并成新的dex文件并打包成为新的APK包。
无壳机器码加固技术具有以下显著优势:
●使用无壳机器码加固的APK文件,其代码已经被转换为 机器码,不能再还原为原始JAVA代码;
●无法静态分析核心代码内容,并且加固的核心代码运行 时不进行还原;
●无法通过程序运行时用dump方法从内存中获得加固过 的核心代码;
●加固后的移动应用客户端软件运行启动速度快,兼容性 好,避免采用壳代理普遍存在的兼容性问题。
总结
递增扩散的高级持续威胁令我们不禁思索:网络世界里从未有过绝对安全。
信息技术迭代升级的步伐不会停下,移动安全技术拨云见雾,在与黑产黑客的斗争中不断演变提升。
网络安全最终是一直延续螺旋上升的“攻防”战,还是裂变出全新的终极模式,没有人可以给出确切的答案,我们唯有在攻防中不断探索,才能遇见安全的未来。
但无论如何,精彩的2019已经成为过去,2020,我们在路上。
来源:freebuf.com 2020-01-16 16:50:26 by: 能信安科技nesun
请登录后发表评论
注册