2019年终盘点 | 移动应用安全重大事件回顾 – 作者:能信安科技nesun

 能信安资讯: 2019年已经结束,在这一年个人信息安全备受关注,随着国际、国内网络安全事件频发,盗版APP、恶意破解、APP劫持、数据泄漏、移动业务攻击等等……各种状况层出不穷。我们开始重视移动应用安全合规问题,在政策法规的驱动下,各监管机构对移动应用监管问题也提出了更高要求。

     根据全球各地频发的移动应用安全事件,能信安整理了2019年10起国内外最受关注、规模较大的移动应用数据泄露、APP劫持、业务攻击等事件。

     值得注意的是,本文仅列举了十大被关注的移动安全事件,而在2019年还发生了许多其他未被披露的类似事件,这意味着移动互联安全问题比你想象的要多很多,您可能也正在被影响……

     随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”,而黑客攻击手段也在不断进化,引发了一系列移动应用安全挑战,今天,我们一起来回顾一下。


1App专项治理:100款App违法采集被下架

640?wx_fmt.jpeg

事件时间:2019年5-11月

事件回顾:

为切实治理个人信息保护方面存在的乱象,四部委联合开展“App违法违规收集使用个人信息专项治理”行动,要求各监管机构对于App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护。

      今年5月至11月,各级版权执法部门会同网信、通信、公安等部门,围绕当前互联网版权治理热点难点开展多个领域专项整治,删除侵权盗版链接110万条,收缴侵权盗版制品1075万件,查处网络侵权盗版案件450件,其中查办刑事案件160件、涉案金额5.24亿元。

     其中在公安机关集中整治违法采集个人信息,包括100款APP被下架。


2奔驰App被爆安全漏洞,可看到其他****

640?wx_fmt.jpeg

事件时间:2019年10月

事件回顾:

奔驰车主表示,在10月18日的时候,移动App上出现了不是自己的汽车和****,其中所记录的信息非常详细,除了汽车的序号、车主姓名和联系方式外,还有位置更新信息等等。据悉,这一问题持续了几个小时。

换个说法就是APP给你打开了一扇“窗”,让你可以窥探到其它奔驰车主的生活。


3同性社交App热拉泄露530多万用户数据

640?wx_fmt.jpeg

事件时间:2019年3月

事件回顾:

     3月28日,热门同性交友应用热拉被披露,因其服务器未受密码保护,其应用数据库泄露,涉及530万用户的个人资料及隐私数据遭到泄露。

      GDI Foundation的安全研究员Victor Gevers表示,该应用包含530万用户资料的数据库被泄露且数据库自2018年6月就已被泄露。

      每条记录包括用户昵称、出生日期、身高和体重、民族、以及性取向和爱好。若用户授权,记录还包括用户的精确地理位置。数据库另外还包含2000多万条状态更新,其中也包含隐私数据。

     2017年5月,热拉曾从应用商店下架。一年后,热拉又重回应用商店。

     Gevers表示,这五百多万的LGBTQ+人群面临诸多社会挑战,这次的数据泄露已存在较长时间,对那些隐私遭到泄露的人造成的伤害更加严重。

4超百家中国网贷App泄漏逾百万用户资料

640?wx_fmt.jpeg

事件时间:2019年7月

事件回顾:

     近年来随着网贷的流行,用户只需使用手机App便可以轻松地借到钱因而也广受好评。7月,有研究人员发现有大量网贷App泄漏了个人信息,或将对百万计用户造成影响。

     据SafetyDetective研究人员Anurag Sen报告称,网上有一个容量高达889GB的“巨型数据库”,其中内含超过460万网贷App用户数据,包括用户个人联系方式,财务信息(包括借贷记录,风险管理数据,交易详情),除此之外还包括用户个人联系人列表,短信记录,IMEI编号以及相关的容量数据,甚至每次登入时的地理位置都还在不断更新之中,因此如果有犯罪分子有意对特定用户进行监控,其甚至可以追踪用户的实时位置。这个资料库位于阿里云且并未经过加密,研究人员表示这可能会造成大量的个人资料泄漏。

5

Twitter安卓APP出现漏洞,可用1700万个电话号码匹配到用户账户

640?wx_fmt.jpeg

事件时间:2019年12月

事件回顾:

       一名安全研究员表示,他利用Twitter安卓应用程序中的一个漏洞,将 1700 万个电话号码与Twitter用户账户进行了匹配。

       研究人员Ibrahim Balic发现,可通过Twitter的联系人上传功能上传生成的完整的电话号码列表。如果用户在Twitter上上传了自己的电话号码那么平台就会获取用户数据。

       Balic表示,Twitter的联系人上传功能不接受连续格式的电话号码列表,这可能就是为了阻止这种匹配的一种方法。然而,Balic前后相继生成了 20 多亿个电话号码,然后将这些号码随机分配,并通过安卓应用将它们上传到Twitter上。

       在过去的一年里,Twitter已经发生多起安全事故。今年 5 月份,Twitter承认向一个合作伙伴提供了账户位置数据,即使用户选择不共享他们的数据。今年 8 月,该公司表示,无意中向其广告合作伙伴提供了更多的数据。

6

WhatsApp严重漏洞曝光,允许黑客永久删除群组聊天记录

640?wx_fmt.jpeg

事件时间:2019年11月

事件回顾:

      heck Point研究人员发现WhatsApp存在严重漏洞,允许黑客反复破坏群聊成员应用程序,并永久删除群组聊天记录。

      据悉,该漏洞位于XMPP通信协议中,黑客可通过合法渗透测试工具访问WhatsApp流量,解密机密参数并将其转换为纯文本格式。

      此外,黑客还能利用该技术更改群组成员电话号码,使用特殊字符代替数字,并通过发送具有无效号码的消息导致应用程序循环崩溃。如需恢复WhatsApp正常运行,只能强制卸载并重装群组成员WhatsApp,删除触发漏洞的恶意群组。

7“全能车”APP让共享单车损失3亿

640?wx_fmt.png

事件时间:2019年11月

事件回顾:

       上海警方查处了一款名叫“全能车”的APP,据称该APP造成共享单车公司损失约 3 亿元,已有3名犯罪嫌疑人因涉嫌破坏计算机信息系统罪被批准逮捕。这款号称“交一次押金即可解锁多款共享单车”的APP,在表面上“便利”用户,背后却隐藏了巨大的安全隐患,甚至还牵涉不正当竞争纠纷……

      早在2017年,一款名为“全能车”的APP出现。根据天眼查信息,该款APP由“深圳前海鸿图科技有限公司”运营。致力于整合市面上主流共享单车品牌,只需一款软件缴纳一份押金即可使用多种共享单车,最大限度调用共享单车资源,帮助用户减少使用成本。资料显示,高峰期,该款APP可打开近20家共享出行企业单车锁。然而,这样一款“实惠便民”的APP,却引来了广泛质疑。多个共享单车品牌均表示未提供授权,也未开展相关合作。

  上海市闵行区警方近日接到相关单车企业报案,称“全能车”严重影响了公司正常服务。接报后,警方组成专案组,对该软件平台开展海量数据分析、电子数据勘查取证。经查,这款所谓全能的共享单车软件,并没有线下单车实体,实际为侵入报案公司的共享单车服务器的黑客软件。操控该软件的犯罪团伙,以低于共享单车包月服务费的方法吸引用户,并通过破解其他企业软件的方式使用各品牌的共享单车。用户交的钱则进了“全能车”自己的腰包。

  今年8月底专案组跨省追踪,抓获犯罪嫌疑人李某、张某、胡某等14名犯罪嫌疑人员,现场查获68台服务器。目前,3名犯罪嫌疑人被依法批准逮捕,11名犯罪嫌疑人被依法采取强制措施。据上海警方披露,该软件造成共享单车公司损失约3亿元。

8违规收集儿童隐私 “抖音国际版”TikTok在美受重罚

640?wx_fmt.jpeg

事件时间:2019年2月

事件回顾:

2019年2月27日,美国联邦贸易委员会(FTC)发布一条针对抖音海外版TikTok的处罚,由于其违反了儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集13岁以下用户的姓名、电子邮件以及其他个人信息,罚款570万美元。

9墨迹天气因数据问题IPO失败

640?wx_fmt.jpeg

事件时间:2019年10月

事件回顾:

      10月11日,证监会发布的第十八届发审委2019年第142次会议审核结果公告,公告显示在此次进行审核的几家公司中,仅北京墨迹风云科技股份有限公司(后文简称“墨迹科技”)未通过审核。

      墨迹科技旗下墨迹天气App是一款天气类App,拥有5.56亿的累计装机量的墨迹天气在同类App中占据龙头位置。墨迹科技于2016年正式提交申请IPO,却最终碰壁。碰壁的同时,证监会发审委同时进行了询问,面对询问墨迹科技不得不面对自己的问题。

      证监会发审委向墨迹科技提出了四点问题,其中第二点问题引起了广泛关注:获取用户数据的手段及方式是否合法合规?使用用户数据是否合法合规?是否存在侵犯用户隐私或数据的的情况?是否出现过个人信息、隐私泄露事件?针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可?

      数据合规问题可以说直接命中了墨迹科技的软肋。2019年7月16日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》;9月份,在公安部网络安全保卫局等多个部门联合主办了“2019年网络安全专题发布会”上墨迹天气再次因涉嫌超范围采集公民个人隐私被点名。

10拼多多系统漏洞被薅羊毛损失千万

640?wx_fmt.jpeg

事件时间:2019年1月

事件回顾:

1月20日凌晨,拼多多被传出现重大BUG,用户可领100元无门槛券。从1月20日凌晨到当天上午9点,拼多多网站每一位注册用户可以通过微信渠道、网页端、QQ渠道等,领取面值为100元的优惠券,该优惠券适用该网站的商品。有用户发现,使用该优惠券后,充值百元话费可实现用0.46元充值100元话费,且可以通过新账号的方式无限制领券。于是,大量网友上线以此方式充值。除了话费充值,网友还购买了Q币、航天钞、油卡等保值商品,有网友还通过重复注册账号的形式,多次反复领取了拼多多的百元优惠券,有未经证实的截图显示,有网友在1月20日当天充值了5万多元的Q币和3万多元的油卡。

(*以上内容搜集自网络)

     在梳理了这十大APP安全事件后发现,移动安全事件不仅发生的频率未减,被影响的规模还在不断扩大。

     针对移动应用常见的安全问题,能信安设计了针对性产品及整体安全解决方案:

一、移动应用安全漏洞扫描及风险评估系统(MSCAN)

  • MSCAN是能信安科技基于移动应用安全领域多年的经验和技术研究积累,面对新的移动应用网络安全形势研发出来的新一代智能安全产品。

  • MSCAN采用移动APP动态模糊检测技术漏洞智能识别技术漏洞动态验证技术主动探寻移动应用APP服务端漏洞等技术;全面支持Android/iOS应用,可对微信公众号和订阅号,HTML5,Web服务端进行多维度的安全漏洞扫描,并全面、快速、自动地生成安全风险评估报告;评估报告包含了漏洞描述、危害和修复建议等内容,为广大移动应用APP厂商、第三方用户、移动应用APP测试/安全管理人员对移动应用系统进行安全风险评估提供了便利。

640?wx_fmt.jpeg

二、移动应用安全加固平台(MASS)

  • MASS利用先进的安全加固手段,实现反编译、反调试、反篡改等安全功能,抵御隐私数据窃取等恶意行为。

  • MASS支持全自动的移动应用安全加固,用户可以一键上传APP ,平台自动加固后即可以下载加固后的安装包。同时,平台也支持自定义加固策略配置,用户可以对加固策略进行深度定制,支持无壳机器码加固技术。

  • 无壳机器码加固是能信安自主研发的加固技术,其原理是根据APK反编译后的Dalvik Bytecode 的语法特点,设计出了抽取指令并转换成为机器码的算法,把转换后的机器码重新与反编译后的APK重新合并成新的dex文件并打包成为新的APK包。

无壳机器码加固技术具有以下显著优势:

   ●使用无壳机器码加固的APK文件,其代码已经被转换为       机器码,不能再还原为原始JAVA代码;

   ●无法静态分析核心代码内容,并且加固的核心代码运行       时不进行还原;

   ●无法通过程序运行时用dump方法从内存中获得加固过       的核心代码;

  ●加固后的移动应用客户端软件运行启动速度快,兼容性      好,避免采用壳代理普遍存在的兼容性问题。

640?wx_fmt.jpeg

总结

递增扩散的高级持续威胁令我们不禁思索:网络世界里从未有过绝对安全。

信息技术迭代升级的步伐不会停下,移动安全技术拨云见雾,在与黑产黑客的斗争中不断演变提升。

640?wx_fmt.jpeg

网络安全最终是一直延续螺旋上升的“攻防”战,还是裂变出全新的终极模式,没有人可以给出确切的答案,我们唯有在攻防中不断探索,才能遇见安全的未来。

但无论如何,精彩的2019已经成为过去,2020,我们在路上。

来源:freebuf.com 2020-01-16 16:50:26 by: 能信安科技nesun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论