谷歌於2017年11月發佈了Android安全補丁, 解決了31個漏洞。 令人驚訝的是, 這31個漏洞在不足十天內被發現。 手機APP的安全和安卓系統安全同樣息息相關, 面對嚴峻的安全形勢, 怎樣高效、精准發現漏洞, 洞悉風險, 快速回應彌補漏洞, 成為每個APP開發者十分關注的問題。 對此, 360加固保推出增值業務----安全掃描, 提供全面高效的APP檢測, 準確定位安全問題, 及時提供修復建議, 説明開發者提升程式的安全性。
根據70萬份“360透視鏡”的漏洞檢測報告調查結果, “360透視鏡”在《2017年第二季度安卓系統安全性生態環境研究報告》中給出了漏洞監測資料:截至2017年7月, 在120萬設備中99.99%的安卓手機存在安全性漏洞, 僅有140台手機完全修復了檢測中所包含的51個漏洞, 其中99.9%的手機存在被攻擊者遠端攻擊的風險, 環比增長0.1%。 從資料結果看出, 漏洞成為威脅安卓系統安全的頭號殺手。
360加固保推出的安全掃描服務首要環節就是高效掃描, 開發者可在加固保官網, 一鍵上傳APK, 或在加固過程中勾選安全掃描服務, 進行安全掃描, 檢測APP漏洞, 分析報告會在幾分鐘內生成, 可隨時查看結果, 更加方便快捷。
聞“風”而動 快速回應固安全360加固保技術開發人員隨機對應用市場五款主流APP進行安全掃描, 無一例外均發現有不同程度的安全風險。 其中Webview組件遠端代碼執行漏洞較為典型, 有四款APP存在此類漏洞。 安卓系統的WebView元件有一個非常特殊的介面函數addJavascriptInterface, 能實現本地java與js之間交互, 當js拿到Android物件後, 可以調用這個Android物件中所有的方法, 包括系統類, 從而進行任意代碼執行。 如, 一個APP通過掃描二維碼打開一個外部網頁時,
其次比較常見的是ZIP文件遍歷漏洞, 在三款APP上都發現有此類漏洞。 ZIP壓縮包檔中允許存在“../”的字串, 在解壓時攻擊者可以利用多個“../”改變ZIP包中某個文件的存放位置, 覆蓋掉應用原有的文件。 如果被覆蓋掉的檔是動態連結so、dex或者odex檔, 輕則產生本地拒絕服務漏洞, 影響應用的可用性, 重則可能造成任意代碼執行漏洞, 危害使用者的設備安全和資訊安全。 比如“寄生獸”漏洞、海豚流覽器遠端命令執行漏洞、三星默認輸入法遠端代碼執行漏洞等都與ZIP檔目錄遍歷有關。
360加固保通過整合安全大資料, 對APP進行深度檢測, 包括安全風險和風險元件兩個維度的全面分析。
360加固保作為國內最大的移動應用安全服務提供者, 一直致力於為開發者提供“安全、免費”的移動應用加固服務。 這次推出的安全掃描增值服務, 通過整合360安全大資料, 深度檢測, 為APP應用上線前提供完整的安全評估, 能發現開發過程中的源碼缺陷及安全功能設計缺陷, 覆蓋絕大部分漏洞, 以最小的代價幫助開發者實現原始程式碼安全目標設定、自動化檢測、目標差距分析、Bug修復跟蹤等功能, 實現APP應用的安全管理。
總體來看, 360加固保此次推出的安全掃描服務, 不僅提供詳細的風險說明、風險描述, 而且提供有針對性的修復建議, 方便開發者快速定位問題, 優化程式, 提升APP安全性。 同時, 提供便捷的加固入口, 通過加固可大大降低漏洞被利用的可能,多維度保護移動應用安全。
通過加固可大大降低漏洞被利用的可能,多維度保護移動應用安全。