2015年已经过去了,回首过去的一年,移动安全领域称得上风云变幻,你方唱罢我登场。本文中爱加密小编盘点了一年来移动安全行业发生的具有重要影响力的大事件,并对未来的趋势做出了简要判断。
移动金融安全
事件概述:2015年末,P2P行业经历着最寒冷的冬天。国内经济不景气、行业风险事件频频爆发、投资者人心惶惶,出身于互联网金融的P2P平台,在经历了早期的野蛮生长与试错探索之后,也出现了线上+线下结合的趋势。然而,互联网在为金融行业带来飞速发展的机会和空间的同时,却因为网络应用的不断深入,带来了一堆隐藏在光亮前景背后的安全问题。其中知名的P2P平台借贷系统中,帝友和贷齐乐借贷系统可以说是现在P2P行业两大主流借贷系统,据统计,现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建的,并且在今年中国最大的投资理财产品点评平台76676发起的“最安全P2P网贷系统”的投票评选活动中,以3372票的高票数稳居第一,占据了总票数的35%,帝友借贷系统也经常出现在P2P平台上,也就是说这两个系统一旦出现安全问题,将会危机到一大片P2P借贷网站。我们对影响较大的漏洞进行梳理(来自乌云爆告-2015年P2P金融网站安全漏洞分析报告):
top10:贷齐乐网贷系统一处无限制注入(WooYun-2015-135819)
top9:贷齐乐某处设计缺陷导致大面积注入(案例测试)(WooYun-2015-132687)
top8:贷齐乐系统多处SQL注入漏洞可影响到敏感数据(续)(WooYun-2015-132558)
top7:贷齐乐加密问题导致全局注入\任意用户登录(无视gpc/waf)(WooYun-2015-135449)
top6:帝友P2P借贷系统某处代码执行漏洞(WooYun-2015-144444)
top5:帝友P2P借贷系统无需登录SQL注入漏洞(版本限制/附100+案例证明)(WooYun-2015-150130)
top4:贷齐乐系统多处SQL注入漏洞可影响大量P2P网贷站点(附100+案例) (WooYun-2015-132043)
top3:帝友P2P借货系统全局问题造成多处注入(无视360防御/gpc/受长度限制) (WooYun-2015-132456)
top2:帝友P2P借贷系统SQL注入五处(无需登录)(WooYun-2015-134412)
top1:贷齐乐某5处注入&&两处getshell(WooYun-2015-136418)
并对漏洞类型进行总结,发现存在漏洞有:SQL注入、命令执行、密码重置、心脏滴血等严重漏洞。
危险指数:★★★★★★★★☆☆
一句话点评:各种遍布街头的理财公司、线上线下的P2P平台,业务安全却如此滞后,各类问题频频出现,移动金融安全成为各家P2P平台急需解决的新课题。
WORMHOLE虫洞
事件概述:今年10月20日两位安全研究人员发现了百度SDK上存在wormhole的漏洞。此次百度SDK虫洞漏洞相关的核心代码存在于SDK的com.baidu.hello.moplus中,所有使用该SDK开发的APP,均会开放40310端口响应数据请求,而此端口本来是用于广告网页、升级下载、推广APP的用途。攻击者一旦拿下这个端口的权限,便可以获得手机近乎全部的控制。影响较大的有百度APP系列、爱奇艺、乐视视频等80于个生活类APP。由于一些手机厂商预装了上述APP,从而导致受影响人群量级猛增,对于个人用户来说,需要关注对应APP的升级信息,建议尽可能从其官方站点下载升级版本,避免遭遇二次伤害。
危险指数:★★★★★★★★☆☆
一句话点评:百度“全家桶”,你值得拥有。
非官方Xcode被植入恶意代码
事件概述:今年9月份的事件,起初并未引起我们的注意,一开始大家只以为是个别开发者使用了非官方渠道下载的xcode导致开发的应用编译出来含有恶意代码,随后我们发现很多在Appstore中的应用都发现检测出了恶意代码,同时包含很多知名的应用:微信,网易,12306等等,此时我们才知道这件事情绝非我们想象的那么简单,虽然恶意代码的行为并不是那么复杂,然而其传播方式却是非常罕见而独特,如同重重一击打破了我们对恶意代码传播方式的固化思维。
危险指数:★★★★★★★★☆☆
一句话点评:图灵奖得者keen Thompson一语成谶,看你还敢用网盘上共享的编译器!
关于我们
爱加密(www.ijiami.cn)是国内顶尖的移动信息安全体系服务商,专注于为移动领域的金融、游戏、企业级应用及移动互联网开发者提供安全可靠的移动应用保护解决方案,服务范围覆盖Andriod和iOS两大主流智能手机系统。