方法内不做任何服务端的证书校验。攻击者可以使用中间人攻击获取加密内容, 如图1所示。Р2.某高校APP的Webview存在本地java接口;Android的Web View组件接口函数add Javascript Interface能实现本地java与js之间交互。在target Sdk Version小于17时, 攻击者利用add Javascript Interface这个接口添加的函数, 可以远程执行任意代码, 如图2所示。Р表1 四大类安全问题 下载原表Р图1 下载原图Р图2 下载原图Р3.某高校APP访问配置文件时使用get Shared Preferences打开文件, 第二个参数设置为MODE_WORLD_WRITEABLE。当前文件可以被其他应用写入, 导致文件内容被篡改, 可能导致影响应用程序的正常运行或更严重的问题, 如图3所示。Р表2 26所高校APP安全漏洞情况(空格表示该漏洞在该APP中不存在) 下载原表Р图3 下载原图Р总体APP漏洞详细结果如表2所示。Р图4 各类型漏洞数量 下载原图Р总览与结论Р根据表2的数据统计, 可以看出, APP普遍缺乏加密保护, Webview存在本地Java接口、数据任意备份等问题也出现较多, 如图4所示。Р图5 APP数量(按存在漏洞个数分类) 下载原图Р按照漏洞出现次数, 将APP统进行统计, 其中出现20~29次漏洞的APP数量最多;仅出现零次或1次问题的APP数量为5个, 如图5所示。Р可以看出, 当前校园APP安全形势不容乐观, 多个方面存在较大安全隐患, 校方应针对典型中高危问题进行针对性修复。APP开发者安全意识有待加强, 安全开发习惯需进一步提高。另外, 在APP分发渠道上, 校方也应加强管理, 引导师生等使用者从官网下载APP, 以防止第三方分发渠道可能存在的安全疏漏。
全文预览
