2015年移动应用安全报告

2015年即将结束，新年新气象，但是移动应用安全却让人有些担忧！

几维安全于2015年12月29日对乌云网 (自由平等开放的漏洞报告平台) 公布的所有移动应用安全漏洞做了统计分析（如图1），发现漏洞数据从2010年起开始快速增长，2015年达到了703个，平均每天公布漏洞数近2个，可见普遍移动应用的安全性非常低，给攻击者留下诸多后门，严重影响到用户的使用和开发商的收益。在移动安全隐患层出不穷的时代，每位开发者都理应设计合理软件架构、编写严谨的逻辑代码、对敏感数据和代码做加密保护，减少应用漏洞数量和避免核心代码泄露。

图1：移动应用安全漏洞统计图

回顾今年六件重大的移动安全事件：

2015年6月份三星自带输入法被爆高危漏洞，通过该漏洞，攻击者可以暗中监控用户的摄像头和麦克风、读取输入和传出的短信以及安装恶意应用程序，影响全球超过6亿的三星手机用户。

2015年7月份色列安全公司 Zimperium宣布，Android 2.2 到 5.1 的所有版本都存在Stagefright高危漏洞，约95%的安卓设备受到该漏洞影响。利用Stagefright漏洞，攻击者只需要向安卓手机上发送一条彩信，不论用户打开与否，都能完全控制用户手机。

2015年7月份OnStar被暴存在安全漏洞，黑客能够通过截获OnStar系统与移动端OnStar应用程序之间的通信，实现车辆解锁以及车辆远程启动等功能。数据显示超过300万的车主使用OnStar应用，最终菲亚特克莱斯勒公司迫于压力，召回140万辆JEEP。

2015年8月份Ashley Madison网站被黑客组织入侵，黑客组织称，他们掌握了近4000万用户的真实姓名、住址和信用卡明细。如果Ashley Madison网站30天内不永久关闭，他们将曝光所有资料。现阶段遭遇集体诉讼，面临巨额赔偿要求！

2015年9月份的Xcode Ghost病毒通过Xcode开发工具快速感染全球的iOS移动应用，窃取用户隐私数据和远控智能手机。随后该病毒继续升级，影响到iOS9系统，甚至在部分Unity 和Cocos2d-x引擎中发现类似的病毒。其中受病毒感染的应用甚至包括微信、12306、高德地图、同花顺等热门应用。

2015年10月份苹果下架251款安装有“有米SDK”插件的移动应用，其原因为“有米SDK”收集用户隐私数据，违反了法规。其实际上受“有米SDK”影响的应用有1035款。

可见移动应用安全隐患不但严重影响用户，也让应用开发商面临信誉下降、用户流失、经济损失等危害！为了避免移动应用漏洞被挖掘，延长应用生命周期，建议对移动应用做安全加固保护处理，阻止攻击者对应用反编译、反汇编、二次打包、资源篡改等恶意行为。

2015年11月份，几维安全对腾讯应用宝市场上3008款Android应用加固情况做统计分析，发现有266款应用做了加固处理，已经占到了9%（如图2）。说明重视应用安全的应用开发商也逐渐增多，相信未来会有更多的应用使用加固产品，扫除运营障碍，提升应用业绩！

图2：移动应用使用加固情况统计

在APK加壳加固盛行的年代，几维安全于2015年推出《几维盾牌》相继支持iOS和Android应用加固，凭借其独特的源代码加固方式，赢得了众多技术人员和开发商的支持，在此几维安全全体员工向您表示深深的感谢，祝您们在2016年创收更高的业绩！

本文出自几维安全，转载请注明来自KiwiSec.com