根据阿里移动安全团队9月份发布的2015移动安全第二季度报告，16个行业top10应用共有8515个APP安全漏洞，比上一季度增加77%。这其中，拒绝服务、Webview远程代码执行、AES/DES弱加密、Webview明文存储等类别漏洞数量较多，各自占总漏洞量的百分比均超过15%。但值得所有开发者深思的是，这种现象并未随时间推移而有所改善，而APP被攻击、APP拥有者或普通用户权益遭受损失的案例屡见不鲜，移动应用的安全状况应该引起更多的关注。APP中存在的这些漏洞，其漏洞的原理是什么？有什么危害？APP开发者如何解决？且让小编列举一二漏洞为你普及。

一、拒绝服务漏洞

1.1 漏洞原理

Android系统提供了Activity、Service和Broadcast Receiver等组件，并提供了Intent机制来协助应用间的交互与通讯，Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述，Android系统则根据此Intent的描述，负责找到对应的组件，将Intent传递给调用的组件，并完成组件的调用。

Android应用本地拒绝服务漏洞源于程序没有对Intent.getXXXExtra()获取的异常进行捕获，或者在畸形数据处理时没有进行异常捕获，从而导致攻击者可通过向被攻击应用发送空数据、异常或者畸形数据来达到使该应用crash的目的，简单而言就是攻击者通过intent发送空数据、异常或畸形数据给受害者应用，导致其崩溃。

1.2 漏洞危害

本地拒绝服务漏洞会影响Android的所有版本，不仅可以导致安全防护应用被绕过或失效（如杀毒软件、安全卫士、防盗锁屏等），而且也可以被竞争对手利用来攻击，使得自己的应用崩溃，造成不同程度的经济利益损失。在第二季度16个行业的top10应用中，拒绝服务漏洞的数量较第一季度上涨107%，其增长之快及存在的安全隐患需要开发者提高警惕，尽快采取安全解决方案自测APP的漏洞情况并及时修复。

二、Webview远程代码执行漏洞

2.1 漏洞原理

Android API level 16以及之前的版本存在远程代码执行安全漏洞，该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法，Android系统通过该方法注册可供JavaScript调用的Java对象，以用于增强JavaScript的功能。但是系统并没有对注册Java类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何Java类，最终导致JavaScript能力的无限增强。攻击者利用该漏洞可以根据客户端能力为所欲为，如远程控制用户手机，盗取用户隐私信息等。

2.2 漏洞危害

Webview远程代码执行漏洞会影响Android 4.2之前的系统版本。多款Android流行应用曾被曝出高危挂马漏洞：点击消息或朋友社区圈中的一条网址时，用户手机就会自动执行被挂马的代码指令，从而导致被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取、手机被远程控制等严重后果。在乌云漏洞平台上，包括Android版的微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批TOP应用均被曝光同类型的漏洞。硬件类如小米手机、谷歌眼镜等亦被爆有该漏洞。

从我们的2015移动安全第二季度报告可以看出，移动应用的漏洞情况不容乐观，热门APP也同样存在多种漏洞风险，对APP开发者或使用APP的用户都存在安全隐患，开发者需要尽快采取安全方案，解决这些安全风险，创造一个可信的移动应用。阿里移动安全团队出品的阿里聚安全解决方案，针对移动APP的安全风险，做到一站式发现问题，解决问题，并长期监控。

三、聚安全解决方案

阿里聚安全，发布于2014年10月22日，是面向开发者和企业级客户的安全开放平台，拥有恶意代码检测、漏洞扫描、仿冒监测，安全组件、应用加固等解决移动应用安全问题的服务，同时具备垃圾注册、活动作弊、账号被盗、渠道作弊等业务风险防控服务，从应用安全到业务安全，全方位解决客户遇到的安全问题，护航业务健康成长。

在阿里聚安全平台上，应用开发者可上传APP进行风险扫描，扫描结果将展示APP中的病毒木马、漏洞等安全风险，及详细的漏洞修复建议。针对移动应用的漏洞，开发者可采取以下3种方式来解决：

1. 根据漏洞扫描详情中的修复建议进行修复，提高APP安全级别。

2. 接入聚安全应用加固，无需二次开发，直接对安装包进行加固，提高APP安全级别，防止被逆向分析，反编译，以及二次打包嵌入各类病毒广告等恶意代码。

3. 接入聚安全的安全组件，集成到APP开发过程中，灵活选择加密功能。

爱加密（www.ijiami.cn）是全球专业的移动信息安全综合服务提供商,专注于移动应用安全、安全大数据及物联网安全，坚持以用户需求为导向、持续不断的创新，致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。爱加密的愿景是通过革新性安全方案和7X24小时全天候的专业服务保护更加智能世界的安全，打造和谐、强大、高度安全的万物互联生态环境。