文/吴中超 徐文涛

APP被忽视的隐患

文/吴中超 徐文涛

26所高校APP安全状况调查显示，出现零次或1次问题的APP数量仅为5个

又是一年开学季，一批新学子即将走入“象牙塔”。如今的高校校园，校园APP已相当普及，成为新一届大学生们获取学校信息、融入校园生活的便捷通道。目前，全国很多高校都拥有了自己校园专属的APP软件，校园APP手机客户端渐渐成为校园生活中重要的一部分。

社会上针对安卓平台的黑客攻击层出不穷，在此背景下，我们对国内20多所高校的安卓平台移动APP进行了初步审计，发现其中存在着诸多安全问题。

所收集的移动APP来自26所高校，其中，华北及东北地区6所，西北地区4所，华东地区7所，中南地区5所，西南地区4所；包括9所985工程高校和14所211工程高校。

APP安全问题

安卓系统是由Google公司开发的移动操作系统，自1.0版本发布至今不过十年时间，安全机制尚不如传统Windows、Linux等系统成熟，而国内安卓市场缺乏官方应用商店管理、厂商定制系统碎片化等因素进一步加剧了安卓系统与应用中存在的安全问题。安卓应用安全涵盖面很广，在本文中，我们主要研究四大类、十五种安全威胁，其潜在危害包括信息泄露、通信劫持甚至任意代码执行等（表1）。

表1 四大类安全问题

图1

各高校APP安全状况

代码,如图2所示。

经逐一审计，各高校APP中存在安全问题较多，仅举其中几处例子：

1.某高校APP源代码中自定义SSL x509 TrustManager，重写checkServerTrusted和checkClientTrusted方法，方法内不做任何服务端的证书校验。攻击者可以使用中间人攻击获取加密内容,如图1所示。

2.某高校APP的Webview存在本地java接口；Android的WebView组件接口函数addJavascriptInterface能实现本地java与js之间交互。在targetSdkVersion小于17时，攻击者利用addJavascriptInterface这个接口添加的函数，可以远程执行任意

图2

3.某高校APP访问配置文件时使用getSharedPreferences打开文件，第二个参数设置为MODE_WORLD_WRITEABLE。当前文件可以被其他应用写入，导致文件内容被篡改，可能导致影响应用程序的正常运行或更严重的问题,如图3所示。

表2 26所高校APP安全漏洞情况（空格表示该漏洞在该APP中不存在）

图3

总体APP漏洞详细结果如表2所示。

图4 各类型漏洞数量

总览与结论

根据表2的数据统计，可以看出，APP普遍缺乏加密保护，Webview存在本地Java接口、数据任意备份等问题也出现较多,如图4所示。

按照漏洞出现次数，将APP统进行统计，其中出现20～29次漏洞的APP数量最多；仅出现零次或1次问题的APP数量为5个,如图5所示。

可以看出，当前校园APP安全形势不容乐观，多个方面存在较大安全隐患，校方应针对典型中高危问题进行针对性修复。APP开发者安全意识有待加强，安全开发习惯需进一步提高。另外，在APP分发渠道上，校方也应加强管理，引导师生等使用者从官网下载APP，以防止第三方分发渠道可能存在的安全疏漏。

图5 APP数量（按存在漏洞个数分类）

（作者单位为信息工程大学）