3.15独家探秘:APP必备安全利器之自动化渗透

15.03.2017  15:24

  近日,Testin安全部门针对移动互联网企业较关心的APP安全热点问题进行了一次行业调查,共收集到上百家相关企业反馈。重点问题反馈整理如下:

  一.数据泄露问题位居第一,占比21.75%

  美国波耐蒙研究所最新提供的一份网络犯罪研究报告显示:数据泄漏使美国塔吉特公司、日本索尼公司等全球知名企业普遍遭遇损失。令人更加沮丧的是,有越来越多全球性企业被迫加入了数据泄漏行列。报告数据显示,美国企业仅2013年一年,就为网络犯罪给其造成的数据泄漏付出了总额高达1156万美元的“学费”。除数据泄漏外,全球各大企业为保障数据安全所做的“无用功”也给其平添了不小的财务负担。

  一年一度的“3·15”临近,数据泄露问题不仅是APP企业主关注度的焦点,因重点涉及民生,金融和电商行业的用户也频频遭遇数据泄露之痛。典型事件包括:5173中国网络服务网数次被“盗钱”、当当网多次用户账户遭盗刷、“1号店”员工内外勾结泄露客户信息、支付宝漏洞致用户信息泄露以及如家和七天开房信息泄密、腾讯7000多万QQ群遭泄露、携程技术漏洞导致用户个人信息和银行卡信息等泄露、微信朋友圈小游戏窃取用户信息等。

  《网络交易管理办法》规定,如果由于经营者的过失,导致消费者经济损失的,理应承担相应的赔偿责任。而企业数据一旦泄漏,企业还要被迫应对其后产生的法务和司法调查问题。

  Testin安全专家针对数据泄露问题提供以下建议:

  1.数据存储位置设定在特定的安全域中,安全域的访问权限严格控制。

  2.对存储数据的操作系统进行加固,对数据读取的进程进行严格限制和监控,如果异动及时处理。

  3.长期对数据存储系统进行渗透测试,保证系统的健壮性。

  二. 互联网产品聚焦平台仍主要为Android,占比33.16%

  一直以来,在智能手机领域中,Android都用它引以为傲的开源系统,让智能手机有了更多可能性。然而,开源系统注定是一把双刃剑,根据CVE Details公布的最新报告,Andriod系统以523个漏洞位居榜首,成为2016年存在安全漏洞最多的软件产品。

  Testin战略合作伙伴360近日也公开了一份手机安全状况报告。报告以Android和Chrome安全公告中检出率最高的36个漏洞作为研究对象,随机抽取了70万台手机的检测结果,对当前Android系统漏洞进行分析。

图三.接受检测的36个安卓系统漏洞的危险等级及其影响设备比例

  最终的检测结果让人大跌眼镜,截止至2016年12月,现存用户中99.99%的Android手机存在安全漏洞,仅有0.01%的Android手机没有安全漏洞。其中,99.5%的手机存在被攻击者远程攻击的风险,97.7%的设备存在权限提升漏洞,97.6%的设备存在信息泄露风险。

  三. 金融行业成安全敏感之地,积极反馈占比居首

  据普华永道的统计数据显示,早在2014年,中国移动互联网金融呈现爆发式增长,全年交易额超过20万亿人民币。主要的互联网金融模式包括第三方支付、在线理财、P2P网贷、直销银行、互联网保险及互联网众筹等。

  在互联网金融蓬勃的几年中,许多曾经名噪一时的金融平台都曾曝出各种各样的问题,一个接一个地倒下,其中不乏因问题严重而出现提现困难,甚至跑路的。根据互联网专业平台“网贷之家”的数据统计,自2011年有相关正式记录以来,至2016年6月底,出现重大问题(跑路、提现困难、经侦介入等)的互联网金融平台总数为1347个。

  尽管这些名噪一时的互金案件将大众视野都吸引到了金融安全上,但一个更为深层次的安全问题却被公众所忽视,就是移动互联网金融APP自身存在的技术问题。根据《移动互联网金融APP信息安全现状白皮书》提供的内容显示,当前国内移动互联网金融APP信息安全存在着以下十大安全隐患:信数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。

  四.如何快速测试一款app是否存在安全问题?

  Testin安全专家建议:每款APP在版本更新或手机系统升级时,都应该进行常规的安全漏洞扫描。目前Testin安全平台提供的免费自动化渗透检测,可以帮助APP进行基本的分级漏洞扫描和定位。常规的自动化安全扫描不到1小时就能输出结果(如需体验,点击:http://www.testin.cn)。

  更多安全资讯与服务,请持续关注Testin 安全,面向开发、QA团队的持续渗透人工智能机器学习安全测试验证服务。

  Testin是全球一站式应用测试服务领导者,为移动应用、游戏、VR/AR、可穿戴、物联网、人工智能开发者提供必需的一站式应用测试服务和质量保证。Testin云测通过深度机器学习的人工智能自动化脚本完成移动应用在云部署真机上的功能、兼容性、回归、安全的自动化测试、真机调试、A/B测试及Bug缺陷管理,Testin众测通过遍布全球的共享测试专家对应用进行功能、用户体验、场景和可用性测试,Testin Pro自动化测试私有云集成兼容、真机调试、功能测试、性能拨测、应用及测试管理进行私有化部署。Testin目前已经持续服务超过80万开发者,为超过200万个应用进行了超过1.5亿次测试,累计3轮融资超过8000万美元,与ARM、Intel、Google、IBM、微软、阿里、腾讯、360、小米以及全球众多的移动互联网生态企业建立了良好的合作与沟通关系,先后被评为清科2014年、2015年中国最具投资价值企业50强,德勤2015年、2016年中国高科技高成长50强,Red Herring红鲱鱼2014年亚洲100强和2015年全球100强。Testin帮助开发者更加自信卓越地创新未来,念念不忘,保持冷静,继续前行!

  Testin主要产品:

  Testin 云测真机自动化云测试,面向开发、QA团队,中国、北美、全球热点和高覆盖率机型的真机兼容、功能和回归测试

  Testin 云测远程真机调试,面向开发团队,通过浏览器、开发工具远程连接真实终端,7×24实时操作、快速定位问题

  Testin 众测,面向开发、QA团队,遍布中国、北美及全球热点地区的测试专家共享测试服务

  Testin Pro私有云,面向企业开发者的一站式自动化测试服务私有云平台

  Testin A/B测试,面向产品、运营团队,用科学实验和人工智能数据分析驱动产品演进的迭代测试

  Testin Bugout,面向开发、QA团队Bug缺陷管理系统

  Testin 安全,面向开发、QA团队的持续渗透人工智能机器学习安全测试验证

  Testin AppBase,企业开发者的移动应用市场、运营、产品、研发综合基准数据库

编辑: 罗予岐