惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Simon Willison's Weblog
Simon Willison's Weblog
P
Privacy International News Feed
www.infosecurity-magazine.com
www.infosecurity-magazine.com
T
Troy Hunt's Blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
Attack and Defense Labs
Attack and Defense Labs
S
Secure Thoughts
V2EX - 技术
V2EX - 技术
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
O
OpenAI News
Cloudbric
Cloudbric
Google Online Security Blog
Google Online Security Blog
Schneier on Security
Schneier on Security
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Help Net Security
Help Net Security
Cyberwarzone
Cyberwarzone
G
GRAHAM CLULEY
L
Lohrmann on Cybersecurity
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Spread Privacy
Spread Privacy
NISL@THU
NISL@THU
N
News and Events Feed by Topic
T
Tenable Blog
S
Security @ Cisco Blogs
N
News and Events Feed by Topic
The Hacker News
The Hacker News
C
CXSECURITY Database RSS Feed - CXSecurity.com
宝玉的分享
宝玉的分享
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
美团技术团队
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Google DeepMind News
Google DeepMind News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tailwind CSS Blog
V
Visual Studio Blog
P
Proofpoint News Feed
Webroot Blog
Webroot Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 三生石上(FineUI控件)
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Jina AI
Jina AI
雷峰网
雷峰网
T
The Blog of Author Tim Ferriss
Hugging Face - Blog
Hugging Face - Blog
腾讯CDC
L
LangChain Blog
The Register - Security
The Register - Security
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 聂微东

蒲公英

蒲公英 502 了 - V2EX 为什么你的 App 不够完美 ——搜索&文本框篇 - V2EX 你的 App 与完美近在咫尺,相隔的只有这些问题 ——注册登录篇 - V2EX [Bug 管理云] 将你的项目和 Github / Bitbucket 的代码库关联起来! - V2EX 深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞 - V2EX 大选日来临!邮件门阴霾仍未散去,每个人都该检查自己的邮箱,和 APP - V2EX 从单独应用扩散到整个行业,问题本质是金融类 APP 的安全 - V2EX 你的 Android HTTPS 真的安全吗? - V2EX 可能比炸机还恐怖, Android 系统 APP 的那些安全隐患你了解吗 - V2EX 蒲公英平台用法的最佳实践(Android 篇) - V2EX Ant 多渠到混淆打包 - V2EX
Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞 - V2EX
ZCPgyer · 2016-11-01 · via 蒲公英

众所周知, Android 系统由于其开源、开放、灵活的特征让智能手机产业有了飞速的进步,截止 2015 年第四季度, Android 在智能手机市场的占有率达到了 80.7%,但与此同时, Android 开放、开源优势从另一个角度来看也许正是其最大的弱点——系统的安全问题。

而作为 APP 开发者,需要考虑的就是在手机被 root 后,私有数据被暴露的情况下,仍然能保证数据安全,不会泄露用户重要的数据及隐私信息,而对于手机厂商修复系统漏洞速度慢的问题,开发者不能依赖系统更新,更多时候需要自己想办法避免漏洞对用户造成损失。这时作为一个 Android 开发者,了解一些安全漏洞的基础知识是十分必要的,本次蒲公英内测就从 APP 端和服务端两个方面来为各位开发者简单介绍一些那些开发过程中最常见到的漏洞。

本次首先介绍 APP 端的敏感信息泄露漏洞。

敏感信息可分为产品敏感信息和用户敏感信息两类,我们对产品敏感信息是这样界定的:

泄露后直接对企业安全造成重大损失或有助于帮助攻击者获取企业内部信息,并可能帮助攻击者尝试更多的攻击路径的信息。

以下这些信息都属于产品敏感信息:登录密码、后台登录及数据库地址、服务器部署的绝对路径、内部 IP 、地址分配规则、网络拓扑、页面注释信息(开发者姓名或工号、程序源代码)。

而用户敏感信息有两个界定原则:

  1. 用户隐私保护主要考虑直接通过该数据或者结合该数据与其它的信息,可以识别出自然人的信息。
  2. 一旦发生数据泄露事件,可以被恶意人员利用并获取不当利润。

由此标准参考,以下字段在数据库的存储以及传输过程中,我们建议加密处理:密码、手机号、快捷支付手机号、 Email 、身份证、银行卡、 CVV 码、有效期。

而这些敏感信息泄露的原因大多数情况下是因为信息未加密或储存位置不当造成的:

  • 代码中明文使用敏感信息,比如:服务器地址、数据库信息等
  • 数据库中明文保存敏感信息,比如:账号、密码、银行卡等
  • SD 卡中保存敏感信息或隐私数据,比如:聊天记录、通讯录等
  • 日志中打印敏感信息:比如:账号、密码
  • 通信过程中明文传输敏感信息

以上这些做法都会使 APP 中的敏感信息暴露在黑客的眼皮底下,只要黑客认为该信息有价值,他就会轻而易举的获取这些敏感信息,最直接的损失可能就是用户的账号被盗、网银被盗刷等。

而黑客如果知道了登录密码、后台登录及数据库地址、服务器部署的绝对路径、内部 IP 、地址分配规则、网络拓扑等产品敏感信息,会极大节省攻击时间,获取该应用的绝对控制权,其损失不是能够用金钱来衡量的。另外,这些敏感信息泄露,也会招来其他试探性的黑客去尝试攻击,导致服务器处于危险境地。

比如以下这几个案例,都将用户名、密码等敏感信息完全明文存储,这对一款金融或涉及线上交易的应用无疑是巨大的问题:

1.某金融 App 日志中明文打印用户名、密码,如果用户手机被安装了恶意软件,恶意软件可以获取到这些信息,导致账号被盗、被转账等。

2.某金融 App Preferences 中明文存储用户名、密码、 Token(令牌)。 Preferences 通常用于把一些配置、状态信息保存在手机上。 如果手机有 root 权限,安装了恶意软件,这些信息可被轻松获取。

3.携程用于处理用户支付的安全支付服务器接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,同时因为保存支付日志的服务器未做严格的基线安全配置,存在目录遍历漏洞。可能导致大量用户持卡人姓名、身份证、银行卡号、卡 CVV 码、等信息外泄。 来源: http://money.163.com/14/0324/01/9O2KIFE500253B0H.html

4.某 App 登录时使用 HTTP 明文传输用户名、密码

以上便是敏感信息泄露漏洞的简单了解,下次将会为大家介绍 APP 端的备份功能开启漏洞与本地拒绝服务漏洞,其危险程度丝毫不亚于敏感信息的泄露,敬请关注。