随着智能手机的普及和发展,政府机构也逐步采用了各种移动应用,以造福于民。政务移动应用包括电子身份证、医保应用和税务服务应用等等。这些电子政务 (eGov) 应用包含大量需要确保安全的敏感信息。假如政府未能为其应用实施适当的安全措施时,这些应用便容易被恶意软件操纵或被进行逆向工程,从而可能导致用户账号被盗、数据泄露和欺诈。
电子政务应用在亚洲越来越受欢迎,用户数量迅速增加。这促使安讯奔的技术合作伙伴 Promon AG(一家挪威应用安全公司),分析了亚太 (APAC) 地区12 款最常用的安卓 和 iOS 移动电子政务应用,以评估它们是否有重大漏洞和缺陷。
评估发现,大多数电子政务应用几乎没有安全机制,有些甚至根本没有受到保护。主要调查结果如下:
大约 60% 的受测试应用泄漏敏感数据。通常,电子政务应用旨在收集和提交敏感数据(例如个人身份信息,简称PII)。在上传到官方渠道之前,通常会缓存这些数据以进行跟踪等。分析发现,人们可以从设备中抓取这些数据。在某些情况下,这些数据存储在SQL 数据库中,且数据格式简单且未加密;而SQL数据库会显示用户的位置和时间。即使加密后存储 PII,但是由于缺乏安全措施,也可以对存储介质进行逆向工程。黑客们可以通过挂钩技术轻松提取加密密钥;有时候,密钥就存放在应用代码库。
如果数据泄露,可能造成严重的声誉损失。在当今社会,新闻传播速度快,泄露事件可能在发生后几小时内,登上全球各地新闻报道头条。泄露事件也会减低用户信任度,并可能对相关各方造成无法弥补的损害。
随着《中华人民共和国个人信息保护法》颁布以及国际欧盟 GDPR(通用数据保护条例) 开始在全球范围内逐渐普及,人们开始关注相关数据隐私法的实施和对数据泄露的相关处罚。
超过 80% 的应用可以被重新打包、注入恶意组件并重新分发。 在这次分析的 12 个应用中,有 10 个没有适当的安全措施以防止重新打包。 因此,它们容易受到攻击或篡改。 由于缺乏适当的安全措施,不法分子可以从官方分发平台(Google Play 或 App Store)下载电子政务应用,对其修改或添加恶意组件,然后在官方分发平台或其他网站上重新分发该应用的修改后版本。 用户如果下载篡改后的应用,但以为下载的是原始正常电子政务应用,便会输入登录凭据、个人敏感信息等,造成数据泄露。攻击者利用盗取的用户数据,进行不法行为。
60% 的受测试应用没有防恶意软件保护。恶意软件经常利用漏洞或滥用操作系统功能,来获取访问权限、窃取用户的数据和凭据。分析发现,受测试的电子政务应用中,没有一个有足够的防恶意软件保护,其中 60% 根本没有防恶意软件保护。这将使它们的用户数据处于危险之中。 安卓的无障碍服务,为应用提供了对设备设置和其他程序的访问权限,以帮助残障用户使用设备。但是,它也是恶意软件的常见利用对象。通过利用无障碍服务,恶意软件可以读取屏幕、记录用户输入以提取敏感数据,例如个人身份信息、密码和其他应用凭据。
50% 的应用甚至没有使用代码混淆等基本保护技术。代码混淆是一种基本的保护方法,它使应用程序的源代码难以阅读和理解,因此可防止攻击者对应用代码进行逆向工程。如果没有使用代码混淆,恶意人员可轻松获得应用代码。
超过 65% 的受测试应用没有检测到攻击者是否使用基本常见的分析工具在运行时分析应用。针对移动应用的攻击,通常从移动操作系统的模拟器开始,目标应用在模拟器中运行和被分析。使用模拟器,攻击者可以对应用代码进行逆向工程、附加调试器、篡改应用等。根据分析,12 个受测试应用中, 4 个有此类检测机制。
75% 的应用无法识别自身是否在恶意环境(安卓基本安全架构已被破坏或手机已被root)中运行。已被root的设备被入侵的风险较高。检测设备是否在安全环境中运行,将影响要采取何种安全措施。
结语
所有保存用户敏感信息的应用,都有责任确保这些信息的安全。对所选的亚太地区电子政务中应用的分析表明,大多数应用没有按照建议实施安全机制,例如开放网络应用安全项目(OWASP) 。因此,与遵守相关标准的应用相比,没遵守的应用的数据泄露或被操纵的风险高很多。
如果应用缺乏对常见攻击工具和方法的防御,则意味着恶意行为者只需使用简单技术或少量工作就可以轻松盗取数据。因此,这会提升攻击应用的可能性;且由于处理的大部分数据都是敏感的,如果被盗,可能会对人们产生重大影响。为了降低应用安全缺陷而导致的风险,政府应采取全面的应用安全措施,例如加固应用、实施强大的加密/数据保护等等,并确保其开发人员接受足够的安全编程培训、在软件开发过程中实施保护应用的安全措施。
建议
对您的移动应用进行漏洞测试。安讯奔提供补充检查,活动至 2021 年 10 月底结束。如有意向,请点击此处登记。
应用加固解决方案
如需了解更多信息,请发电邮至 enquiry@i-sprint.com.