金融行業(yè)移動App安全觀測報告

目 錄一、金融行業(yè)App觀測背景 1（一）移動應(yīng)用安全的政策背景 1（二）金融行業(yè)App的安全現(xiàn)狀 2二、金融行業(yè)App觀測結(jié)果 3（一）觀測對象分布情況 3（二）觀測對象風(fēng)險集中表現(xiàn) 5三、金融行業(yè)App的安全風(fēng)險分析 7（一）高危漏洞普遍存在 7（二）惡意程序問題嚴(yán)峻 9（三）使用SDK引入風(fēng)險 11（四）違規(guī)索權(quán)侵犯隱私 13（五）缺乏有效安全加固 20四、金融行業(yè)App的安全工作思路 24（一）相關(guān)行業(yè)主管部門 24（二）應(yīng)用商店運(yùn)營者 24（三）App開發(fā)者 24（四）App的使用者 25附錄A金融行業(yè)App地域分布表 26附錄B金融行業(yè)App分類邏輯及典型應(yīng)用 27附錄CTop10高危漏洞說明 29附錄DApp惡意程序類型解釋 32附錄E受到惡意程序感染的App地域分布表 33一、金融行業(yè)App觀測背景（一）移動應(yīng)用安全的政策背景App的網(wǎng)絡(luò)安全。2019125App違法違規(guī)收集使用個人App專項治理工作組在全國范圍內(nèi)組織App31日，AppApp違法違規(guī)收集使用個人信息自評估指南》（315App安全認(rèn)證工作。55日，AppApp違法違規(guī)收集使用個人（征求意見稿（并AppApp運(yùn)營App71AppApp違88（對個人信息保護(hù)收集個人信息基本規(guī)范（草案）》，向社會公開征求意見。AppApp網(wǎng)絡(luò)安全的重視和治理AppApp安全面臨著嚴(yán)峻的形勢。（二）App的安全現(xiàn)狀A(yù)pp已經(jīng)AppAppApp網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)AppApp使用習(xí)慣帶2019105App505個，其中2395958個40個源代碼反編譯漏洞。這些安全漏洞可能威脅交易授權(quán)和數(shù)據(jù)保護(hù)，帶來嚴(yán)重的安全風(fēng)險。App網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行觀測，形成本觀測報告。二、金融行業(yè)App觀測結(jié)果（一）觀測對象分布情況20199232個安卓應(yīng)用市場中收133327App。130022款可以明確歸屬省份，34App（App地域分App3824款。App29.60%21.30%12.96%App生成數(shù)量前三，而西藏、青海60.18%1所示。圖1 App區(qū)域分布情況App細(xì)分領(lǐng)域來看（App分類邏輯及典型AppApp36.74%；面P2PApp11.38%；彩票類App27.19%App占比如圖2所示：6000060000500004000030000200000.09%1221000005432610.41%0.20%1.27%169318981.42%1517913444362534898636.74%27.19%11.38%10.08%3.19%42592.45%32632.00%26641.91%25531.66%2209P2P金融圖2 不同細(xì)分領(lǐng)域App數(shù)量及占比（二）觀測對象風(fēng)險集中表現(xiàn)以數(shù)據(jù)泄露為代表的高危漏洞風(fēng)險70.22%App存在高危漏洞，App仿冒、植入惡意程App的高危漏洞App數(shù)據(jù)泄露的風(fēng)險。以流氓行為代表的惡意程序感染風(fēng)險8217App被檢測出惡意程序，App用戶的個人隱App占82.02%。SDK本次觀測發(fā)現(xiàn)，共有20.48%的金融行業(yè)App被嵌入了第三方SDK,SDK104005SDK的金融行業(yè)App45%App5SDKSDKApp也面臨一定的安全隱患。違規(guī)索權(quán)帶來的隱私泄露風(fēng)險12款下載量過億的金融行AppApp存在不同程度的超范圍索取用戶權(quán)限的情況，在隱私政策方面也存在多種違法違規(guī)行為，App用戶的個人隱私信息一旦泄App用戶的利益。安全加固不足暴露安全風(fēng)險17.08%App進(jìn)行了安全加固，80%App在應(yīng)用市場“裸奔”，未進(jìn)行任何的安全JavaAPK三、金融行業(yè)App的安全風(fēng)險分析（一）高危漏洞普遍存在高危漏洞,70.22%中危漏洞,73.14%低危漏洞,73.03%報告團(tuán)隊對133327款金融行業(yè)App進(jìn)行掃描，共計檢測出19796966021種為高危漏洞。App中，73.23%存在不同程度的安全漏洞，70.22%存在高App20.36.7高危漏洞,70.22%中危漏洞,73.14%低危漏洞,73.03%圖3金融行業(yè)App各等級漏洞情況AppApp的高危App93.87%93.44%AppApp85%4所示。存在高危漏洞存在高危漏洞APP數(shù)量存在高危漏洞APP占比5000060.00%58.29%55.00%50.00%1000067.64%1500074.33%2000085.64%79.86%78.03%83.97%82.84%77.78%2500087.69%88.88%86.87%93.87% 93.44%30000100.00%95.00%90.00%85.00%80.00%75.00%70.00%65.00%消費(fèi)金融彩票投資理財P2P金融證券財務(wù)管理其他股票保險銀行數(shù)字貨幣外匯互聯(lián)網(wǎng)第三方支付信托圖4不同細(xì)分領(lǐng)域高危漏洞App數(shù)量及占比情況消費(fèi)金融彩票投資理財P2P金融證券財務(wù)管理其他股票保險銀行數(shù)字貨幣外匯互聯(lián)網(wǎng)第三方支付信托75000600002948330000 4500015000022.11%H5文件加固檢測3755728.17%數(shù)據(jù)庫注入漏洞4672935.05%IP檢測5167638.76%權(quán)限濫用風(fēng)險5477741.08%RSA加密算法不安全使用風(fēng)險5569341.77%WebView明文存儲密碼漏洞6052845.40%Java代碼加殼檢測7090253.18%WebView遠(yuǎn)程代碼執(zhí)行漏洞75000600002948330000 4500015000022.11%H5文件加固檢測3755728.17%數(shù)據(jù)庫注入漏洞4672935.05%IP檢測5167638.76%權(quán)限濫用風(fēng)險5477741.08%RSA加密算法不安全使用風(fēng)險5569341.77%WebView明文存儲密碼漏洞6052845.40%Java代碼加殼檢測7090253.18%WebView遠(yuǎn)程代碼執(zhí)行漏洞7099753.25%Janus漏洞7122953.42%動態(tài)注冊Receiver風(fēng)險圖5高危漏洞類型分布（Top10）（二）惡意程序問題嚴(yán)峻8217款金App6.16%等多種惡意行為，對移動用戶的個人信息及財產(chǎn)安全帶來巨大威脅。0.15%系統(tǒng)破壞,0.01%流氓行為,82.02%1.25%5.25%信息竊取,9.10%從惡意程序類型來看（惡意程序類型及說明參加附錄D），有82.02%App已經(jīng)受到具有流氓行為的惡意程序感染，這類惡意程驗9.10%的App0.15%系統(tǒng)破壞,0.01%流氓行為,82.02%1.25%5.25%信息竊取,9.10%圖6 App惡意程序類型分布情況（一款A(yù)pp可能存在多種病毒）從地域分布來看，除19款歸屬省份不明的App之外，其余8198App33（受到AppAppApp總數(shù)30.16%App12.56%App受到惡意程序感染。受到惡意程序感染的App7所示：圖7受到惡意程序感染的App區(qū)域分布情況AppApp數(shù)量前三的類別分別為消費(fèi)金融類、彩票類、P2PApp41662378949AppAppP2P金融類受6%8所示。領(lǐng)域滲透率領(lǐng)域滲透率病毒APP占比55.00%44.00%33.00%消費(fèi)金融 8.50%彩票 P2P金融 投資理財 2.69%其他 3.64%財務(wù)管理 股票 銀行 保險 證券 數(shù)字貨幣 外匯 互聯(lián)網(wǎng)第三方支付 0.00% 11.00% 22.00%圖8各細(xì)分領(lǐng)域受到惡意程序感染的App分布情況（三）SDK引入風(fēng)險SDK是SoftwareDevelopmentKit“軟件開發(fā)工具包”，SDK供開發(fā)者使用。而開發(fā)者為了提升效率、降低成本，往往SDKSDK常存在安全漏SDK的App帶來相應(yīng)的安全隱患。SDK市場占有率分析報告》統(tǒng)60%SDKSDK被廣泛使用到大App中，漏洞造成的影響范圍極廣。不法分子可以通過制作、發(fā)AppSDK，造成短時間、大范SDK息的能力，但SDK收集哪些個人信息，用戶往往難以感知，甚至App開發(fā)者也未必知曉，給用戶個人信息安全帶來嚴(yán)重威脅。27300款金融行業(yè)App嵌入了第三方SDK，App20.48%App104005個第三方SDKApp3.8AppSDK使用情9所示。40.00%35.00%SDK30.00%量最多為14個，25.00%20.00%App入，此處不予展15.00%10.00%5.00%0.00%APP占比9.53%3.58%2.72%1.88%0.93%0.63%0.20%2.43%5.42%0.20%SDK數(shù)量占比5.00%2.82%2.86%3.45%1.96%1.50%0.52%7.01%0.69%圖9不同SDK個數(shù)區(qū)間對應(yīng)的App分布情況AppSDKSDK使用AppSDK分別是推送73.11%、9.83%8.70%；全行業(yè)AppSDK為框架類、廣告類和社交類，占比分別為42.98%12.86%11.60%SDKAppSDK3.42%0.28%10所示。SDK在金融AppSDKApp中使用十分廣泛，安全風(fēng)險問題需要重點(diǎn)關(guān)注。業(yè) 音視頻類類 0.01%0.52%0.00%地圖類類 類 類 0.00%5.47%9.38%4.66%6.51%0.28%8.70% 9.83%3.42%10.00%10.68%11.60%12.86%40.00%30.00%20.00%42.98%50.00%70.00%60.00%73.11%80.00%圖10全行業(yè)和金融行業(yè)App使用的各類SDK分布對比（四）違規(guī)索權(quán)侵犯隱私App安全關(guān)注和防范的App戶本12App，分別對敏超范圍獲取敏感權(quán)限研究發(fā)現(xiàn)，12App均存在不同程度的超范圍權(quán)限采集現(xiàn)象。App29種高敏感權(quán)限、15種中敏感權(quán)限、33種低敏1所示。表1 調(diào)研的12款A(yù)pp隱私權(quán)限獲取情況序號App名稱版本號包名所屬渠道高敏感中敏感低敏感1中國建設(shè)銀行4.2.0com.chinamworld.main華為應(yīng)用市場1810222交通銀行3.3.10com.bankcomm.Bankcomm華為應(yīng)用市場1810223工銀融e聯(lián)3.4.0com.icbc.im華為應(yīng)用市場1610194中國工商銀行.1com.icbc華為應(yīng)用市場159205華為錢包00com.huawei.wallet華為應(yīng)用市場159166中國農(nóng)業(yè)銀行4.1.0com.android.bankabciTools169147中國銀行6.0.6com.chinamworld.bocmbci華為應(yīng)用市場109198全能中彩彩票3.2.8com.qnzc.sls_App.activity應(yīng)用寶127169快樂寶彩票3.2.8com.klb.sls_App.activity應(yīng)用寶1271610彩運(yùn)寶彩票-快33.2.8com.cyb.sls_App.activity應(yīng)用寶1271611草根投資4.2.0.cgtz其他10111212無憂錢包1.1.6com.chuangle.clwy應(yīng)用寶4279925種，其中，高敏感87102所示。表2 9款及9款以上App獲取的權(quán)限列表序號權(quán)限類別敏感度權(quán)限名獲取權(quán)限App占比1讀取手機(jī)狀態(tài)和身份高敏感READ_PHONE_STATE100%2修改或刪除存儲卡中的內(nèi)容高敏感WRITE_EXTERNAL_STORAGE100%3讀取系統(tǒng)日志高敏感READ_LOGS91.67%4拍攝照片和錄制視頻高敏感CAMERA91.67%5修改系統(tǒng)設(shè)置高敏感WRITE_SETTINGS91.67%6發(fā)起電話呼叫高敏感CALL_PHONE75%7錄制音頻高敏感RECORD_AUDIO75%8重啟程序高敏感REBOOT75%9訪問確認(rèn)位置信息中敏感ACCESS_FINE_LOCATION100%10更改WLAN狀態(tài)中敏感CHANGE_WIFI_STATE100%11訪問大致位置信息中敏感ACCESS_COARSE_LOCATION91.67%12改變網(wǎng)絡(luò)狀態(tài)中敏感CHANGE_NETWORK_STATE91.67%13獲取任務(wù)信息中敏感GET_TASKS91.67%14裝載和卸載文件系統(tǒng)中敏感MOUNT_UNMOUNT_FILESYSTEMS91.67%序號權(quán)限類別敏感度權(quán)限名獲取權(quán)限App占比15顯示系統(tǒng)窗口中敏感SYSTEM_ALERT_WINDOW83.33%16查看WLAN狀態(tài)低敏感ACCESS_WIFI_STATE100%17查看獲取網(wǎng)絡(luò)狀態(tài)低敏感ACCESS_NETWORK_STATE100%18防止處理器休眠或屏幕變暗低敏感WAKE_LOCK100%19訪問互聯(lián)網(wǎng)權(quán)限低敏感INTERNET100%20開機(jī)時自動啟動低敏感RECEIVE_BOOT_COMPLETED100%21控制振動器低敏感VIBRATE100%22讀取設(shè)備外部存儲空間低敏感READ_EXTERNAL_STORAGE91.67%23使用藍(lán)牙低敏感BLUETOOTH91.67%24創(chuàng)建快捷方式低敏感SHORTCUT83.33%25更改您的音頻設(shè)置低敏感MODIFY_AUDIO_SETTINGS83.33%由上表可知，所有App均獲取兩項高敏感權(quán)限,一是獲取了20196月發(fā)布的《網(wǎng)絡(luò)安全實(shí)踐指南——移動互聯(lián)網(wǎng)應(yīng)用App基本業(yè)務(wù)功能未嚴(yán)格遵守隱私政策法規(guī)AppApp用戶對其充分知曉和同意。41條規(guī)定“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、App中也涉嫌存在違法違規(guī)問題。超范圍獲取個人指紋及面部識別信息等非必要敏感信息。圖11某金融App隱私政策中收集用戶指紋、面部等生物信息App隱私政策中出現(xiàn)要求用戶提供給用戶刪除個人信息設(shè)置條件，非規(guī)定情形下不予理睬。圖12某金融App隱私政策中刪除個人信息條款A(yù)pp12App設(shè)置條件阻止用戶刪除個人信息。未提供單獨(dú)的《隱私政策》，違反了隱私政策要以單獨(dú)成文形式發(fā)布的要求。圖13某金融App未單獨(dú)提供隱私政策13App超范圍獲取讀取通訊錄、攝像頭、通話錄音等與服務(wù)無關(guān)權(quán)限，未對收集到的相關(guān)信息所對應(yīng)的功能進(jìn)行說明。圖14某金融App隱私政策中未說明收集信息的用途14App聲稱關(guān)閉這些權(quán)限則影響用戶獲取應(yīng)用提供的產(chǎn)品或服務(wù)。注銷賬號程序繁瑣且涉嫌收集與該操作無關(guān)的個人信息。違App圖15某金融App隱私政策中注銷賬號相關(guān)條款15App隱私政策要求注銷賬號時需提供身份正反應(yīng)用程序接入的第三方服務(wù)不受該隱私政策限制，且需主動所示。16AppApp（五）缺乏有效安全加固JavaAppAppAppAppAppApp至少進(jìn)行過一次安全App17.08%App開發(fā)8App未進(jìn)行過安全加固。AppApp360、騰訊、梆梆、愛加密、百度等1254.36%的金融行業(yè)App360加固平臺進(jìn)行安全加固；39.02%App選擇騰訊6.62%App選擇其他廠商進(jìn)行安全加固。加固廠家選擇如圖17所示：39.02%3.38%2.27%0.58%54.36%39.02%3.38%2.27%0.58%54.36%0.00% 0.01%360加固各省份移動應(yīng)用加固情況相近從加固App的地域分布來看，發(fā)達(dá)地區(qū)App供應(yīng)商安全意識較強(qiáng)，加固數(shù)量最多，如圖18所示。圖18加固App地域分布700600500400300200045.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%5App加固比例未達(dá)到行27700600500400300200045.00%40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%山西河北廣西新疆山東青海吉林安徽寧夏四川加固APP數(shù)量182293134795321012535625627省份占比41.65%38.25%37.02%34.05%33.69%33.33%33.07%32.99%32.89%32.84%加固APP占比0.80%1.29%0.59%0.35%2.34%0.04%0.55%1.56%0.11%2.75%圖19加固App數(shù)量省份占比前十分布3、借貸類App加固比例相對偏低AppAppP2PApp加固比例分別為10.41%13.33%App平均加固比例。外匯類、銀行App43.83%28.24%26.58%，App20所示。10.41%10.41%45.00%43.83%40.00%36.00%27.00%18.00%28.24% 26.58%21.46% 18.61% 23.05% 20.80% 23.47%20.49% 17.61% 17.83%16.18% 13.33%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%金融0.00%領(lǐng)域滲透率 加固APP占比互聯(lián)網(wǎng)圖20各金融細(xì)分領(lǐng)域App加固分布情況互聯(lián)網(wǎng)四、金融行業(yè)App的安全工作思路（一）相關(guān)行業(yè)主管部門AppApp安全無App安App安全等級保護(hù)測AppAppApp（二）應(yīng)用商店運(yùn)營者App與用戶的橋梁，各應(yīng)用商店運(yùn)營者應(yīng)嚴(yán)格貫徹App開發(fā)者及用戶權(quán)益。同AppAppApp安全問題給用戶帶來的損失。（三）App開發(fā)者AppApp安全的核心，其安全意識和安全防護(hù)能AppApp的開發(fā)者，首先，明AppApp開App開發(fā)的App因漏洞問題被仿冒、攻擊以及感染惡意程序等。（四）App的使用者App的App，不隨意點(diǎn)開不明下載鏈接；AppApp和暴露過多個人隱私信息。附錄A 金融行業(yè)App地域分布表序號省份App數(shù)量占比1廣東3946429.60%2湖北2840021.30%3北京1685712.64%4江蘇92926.97%5上海85166.39%6浙江57164.29%7福建41353.10%8湖南26672.00%9四川19091.43%10河南16201.22%11山東15791.18%12陜西12790.96%13安徽10790.81%14重慶9160.69%15河北7660.57%16江西7550.57%17云南6740.51%18遼寧6480.49%19貴州4610.35%20天津4420.33%21山西4370.33%22吉林3780.28%23廣西3620.27%24黑龍江3460.26%25內(nèi)蒙古3260.24%26海南3230.24%27新疆2320.17%28甘肅2050.15%29寧夏760.06%30西藏470.04%31臺灣400.03%32香港350.03%33青海300.02%34澳門100.01%附錄B 金融行業(yè)App分類邏輯及典型應(yīng)用序號金融分類分類邏輯應(yīng)用名稱版本號網(wǎng)頁鏈接1消費(fèi)金融僅面向消費(fèi)者個人的借貸類應(yīng)用云科貸管家1.0.30L5-XW/soft/505642.html吉利貸1.5.1/ruanjian/1887.html2彩票博彩類應(yīng)用快3v1.6.2/myApp/detail.htm?apkName=com.lottery.tisscasdqpcddok彩票v2.5.5/down/261210.html3投資理財黃金、白原油等專業(yè)應(yīng)用。v1.0/az/418348.html朵朵理財1.32/detail?pid=34&cid=40&docid=-83156434526366887954P2P金融宜人貸手機(jī)版1.0/a_soft/124275.html豬金貸v1.0.0/myApp/detail.htm?apkName=com.zhujindai.p2p.ad35證券平安證券https://A/App/C10308911國金太陽5.00.01http://www.shouji56.com/soft/GuoJinZheng_80379/6財務(wù)管理記賬、收理類應(yīng)用易收錢App1.0/a_soft/36445.html傳貝收銀3.0.8/myApp/detail.htm?apkName=com.wuzhenpay.App.chuanbei7股票專業(yè)炒股軟件股票配資1.0/Apps/com.myApp.gppeizis牛股王股票1.0/a_soft/1917.html8保險提供各種保險產(chǎn)品的應(yīng)用人保財險App1.0/a_soft/27821.html中國人壽App1.0/a_soft/35312.html9銀行1.4/downinfo/381780.html序號金融分類分類邏輯應(yīng)用名稱版本號網(wǎng)頁鏈接工銀融e行客戶端1.0/a_soft/8492.html10數(shù)字貨幣專注虛擬貨幣交易投資服務(wù)的應(yīng)用FOTA方圖App1.0.0/az/1099977.htmlbefong1.0.0/App/bifengApp/11外匯專注外匯交易投資應(yīng)用外匯寶軟件1.0/a_soft/37276.htmlMT4外匯中文版v1.0.4/myApp/detail.htm?apkName=cc.yswebportal.ahpt.m12互聯(lián)網(wǎng)第三方支付網(wǎng)支付（納入此范壹錢包V4.3.1/azrj/279183.html易生支付2.4.4http://os-/rj/288175.shtml13信托華潤信托1.8.1https://A/App/C100127841錢景信托管家/rj/302384.shtml附錄C Top10高危漏洞說明序號惡意程序檢測目的類型說明Google201712告中披露“Janus”漏洞（漏洞編號：CVE-2017-13156）。該漏洞可以讓攻擊者繞過安卓系統(tǒng)的signatureschemeV1簽名機(jī)制，直接檢測應(yīng)用是對App進(jìn)行篡改。由于安卓系統(tǒng)的其他安全機(jī)1Janus漏洞Janus洞?？梢栽谡?yīng)用中植入惡意代碼，可替代原有的App做下載、更新。安裝這些仿冒App后，攻擊者可以竊取用戶的賬號、密碼等敏感信息；或者植入木馬病毒，導(dǎo)致手機(jī)被ROOT，甚至被遠(yuǎn)程操控。AndroidAPIlevel17以及之前的版本，由于程序沒有正確限制使用2WebView遠(yuǎn)程代碼執(zhí)行漏洞檢測應(yīng)用是否存在WebView遠(yuǎn)程代碼執(zhí)行漏洞。addJavascriptInterfaceJavaReflectionAPIJavaWebViewJavaScriptJava導(dǎo)致手機(jī)被安裝木馬程序，發(fā)送扣費(fèi)短信，通信錄或者短信被竊取，甚至手機(jī)被遠(yuǎn)程控制。BroadcastReceiver組件可動態(tài)注冊，即在代碼中使用registerReceiver()方法注冊BroadcastReceiver，只有當(dāng)3動態(tài)注冊Receiver險檢測應(yīng)用是否存在動態(tài)注冊Receiver險。registerReceiver()的代碼執(zhí)行到了才進(jìn)行注冊，取消時則調(diào)用unregisterReceiver()方法。但registerReceiver()方法注冊的BroadcastReceiver是全局的并且默認(rèn)可導(dǎo)出的，如果沒有限制訪問權(quán)限，可以被任意外部App訪問，向其傳遞Intent來執(zhí)行特定的功能。因此，動態(tài)注冊的BroadcastReceive可能導(dǎo)致拒絕服務(wù)攻擊、App數(shù)據(jù)泄漏或是越權(quán)調(diào)用等風(fēng)險。4WebView明文存儲密碼漏洞檢測應(yīng)用的WebView組件中是否使用明文保存用戶名及密碼。WebViewWebView中輸入的用戶名和密碼，則會被明文保存到應(yīng)databases/webview.dbrootWebView序號惡意程序檢測目的類型說明數(shù)據(jù)庫，從而竊取本地明文存儲的用戶名和密碼。5IP檢測檢測應(yīng)用代碼中是否硬IPIPIPIP址。起來比較繁瑣。6Java代碼加殼檢測檢測應(yīng)用程Java碼是否加殼。JavaJavaJava應(yīng)用程序的代碼，導(dǎo)致代碼邏輯泄露、重要數(shù)據(jù)加密代碼邏輯泄露等。ContentProviderAndroid的應(yīng)用程序之間實(shí)現(xiàn)數(shù)據(jù)共享的功能。SQLite數(shù)據(jù)庫和文件數(shù)據(jù)是ContentProvider的數(shù)據(jù)檢測應(yīng)用是源。當(dāng)ContentProvider的數(shù)據(jù)源是SQLite7數(shù)據(jù)庫注入漏洞Provider（export為“true”），如果query()中使用拼接字符洞。SQLSQLite庫時，則容易發(fā)生SQL注入。攻擊者可以利用此漏洞攻擊應(yīng)用的本地數(shù)據(jù)庫，導(dǎo)致存儲的敏感數(shù)據(jù)信息被查詢泄露，例如用戶名、密碼等，或者產(chǎn)生查詢異常導(dǎo)致應(yīng)用崩潰。H5檢測應(yīng)用資界面、支付界面等。攻擊者可篡改H5資源文8H5文件加固檢測H5加固。有甚者，通過H5代碼暴露相關(guān)活動的業(yè)務(wù)邏輯，可能被黑產(chǎn)團(tuán)隊用來刷紅包、薅羊毛等，造成經(jīng)濟(jì)損失。檢測應(yīng)用中RSA加密算法是一種非對稱加密算法，是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。9RSARSA512用風(fēng)險法不安全使確的工作模式和填充方式，將會存在重放攻擊用情況。的風(fēng)險。因RSA加密算法不安全使用造成的加密方法失效，可能造成客戶端隱私數(shù)據(jù)泄露、序號惡意程序檢測目的類型說明加密文件破解、傳輸數(shù)據(jù)被獲取、中間人攻擊等后果，導(dǎo)致用戶敏感信息被竊取。權(quán)限是一種安全機(jī)制，主要用于限制應(yīng)用程序內(nèi)部某些具有限制性特性的功能使用以及應(yīng)用程序之間的組件訪問。Android通過在檢測應(yīng)用中AndroidManifest.xml中增加權(quán)限來控制限制性10權(quán)限濫用風(fēng)險況。擊者利用應(yīng)用權(quán)限可以使用某些特殊的功能，如撥打電話、訪問攝像頭、利用麥克風(fēng)錄音、編寫并植入木馬等?？赡軐?dǎo)致隱私數(shù)據(jù)泄露，釣魚扣費(fèi)等風(fēng)險。附錄D App