在上周,安全软件公司Pradeo的行为分析引擎对Google Play商店中的一款名为“Dune!(沙丘)”的应用程序提出了警告。这是一款游戏应用程序,在过去几周里已经被下载了超过500万次,并已经进入了Google Play商店“热门应用”列表。
Pradeo在经过详细的分析后表示,该应用程序存在众多安全问题,这主要包括:
对用户进行了地理定位及位置数据转发;
会泄露手机设备数据;
数据被发送到至少32台远程服务器;
过多的外部库;
拥有11个OWASP漏洞。
Pradeo解释说,沙丘作为一款游戏应用,地理定位并不是必须的权限。一旦数据被收集,这些位置数据将被发送到至少32台远程服务器。
泄露的手机设备数据同样被发送到了远程服务器,这些数据包括操作系统版本、服务提供商名称、SIM提供商、国家代码(SIM提供商的移动国家代码和网络代码)、设备所连接的电话网络种类(3G、4G、UMTS或者其他)、设备制造商、设备商业名称、电池电量、设备型号。
Pradeo表示,这是十分危险的。就比如操作系统版本,它清楚地表明了设备的漏洞级别,黑客经常用它来评估目标设备是否容易攻击。
此外,沙丘嵌入了过多的库。根据Pradeo的说法,库通常被设计用于特定的服务(比如支付、分析等)并嵌入到应用程序中。但由于这些库来自外部第三方公司,所以开发人员没有交出他们的源代码。很多时候,这些库默默地执行不必要的操作(例如,连接到未知服务器)和泄露数据。
Pradeo表示,沙丘嵌入了20个库,这比其他很多应用程序嵌入的库要多得多。其中,超过一半的目的是跟踪用户,并获得尽可能多的关于他们的敏感信息。
最后,也是最值得关注的。 Pradeo的行为分析引擎在沙丘中检测到了11个OWASP漏洞,这可能会将用户的敏感数据置于危险之中,使用户手机设备容易受到数据泄露、拒绝服务和数据损坏的威胁。以下是11个OWASP漏洞的详细列表:
BROADCAST-ACTIVITY-允许其他应用程序绕过某些安全访问,直接访问潜在的敏感数据;
BROADCAST-PROVIDER-允许任何应用程序有权直接访问组件中的敏感数据;
BROADCAST-SERVICE-允许其他应用程序有权启动或绑定沙丘,可能会导致敏感数据泄漏或导致拒绝服务;
BROADCST-RECEIVER-允许其他应用程序向沙丘发送恶意意图,在未经授权的情况下运行,可能会导致敏感数据泄露或拒绝服务;
URLCANONICALISATION-使其他应用程序更容易访问用户设备数据(文件),甚至可能导致目录遍历;
LOG:显示输出日志,其他应用程序可以通过执行一个命令来恢复日志中包含的信息;
IMPLICIT-INTENT-恶意的活动或服务可以拦截隐式意图并启动,而不是预定的活动或服务,这可能导致数据遭截取或拒绝服务;
X.509TRUSTMANAGER-安全实现的接口x509trustmanager。具体来说,当建立对远程服务器的HTTPS连接时,实现忽略了所有SSL证书验证错误,从而使用户设备容易受到中间人攻击。攻击者可以读取传输数据(例如,登录凭着),甚至更改HTTPS连接上传输的数据。
WIDGET-恶意应用程序可能通过小部件访问敏感数据,从而使应用程序泄露数据。
POTENTIALLY-BYPASS-SSL-CONNECTION-当建立对远程服务器的HTTPS连接时,实现忽略了所有SSL证书验证错误,从而使用户设备容易受到中间人攻击。攻击者可以读取传输数据(例如,登录凭着),甚至更改HTTPS连接上传输的数据;
RSA_NO_PAD-使用RSA密码没有OAEP填充。填充方案的目的是防止对RSA进行多次攻击,只有在不加填充的情况下进行加密时,这种攻击才起作用。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
