往期精华文章:
(1)通信数据明文发送
客户端APP与服务器端交互的数据通过明文的通信信道传输
(2)通信数据可解密
客户端APP与服务器交互的数据传输加密,但数据依然可以被解密
(3)敏感数据本地可破解
客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密 存储但通过逆向分析程序可以破解该数据
(4)调试信息泄露
客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。
(5)敏感信息泄露
客户端APP代码中泄露敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应该被暴露的后台服务器管理地址等等。
(6)密码学误用
客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中的IV固定,不安全的公钥进行非对称加密等。
(7)功能泄露
客户端APP中高权限等行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调试或访问。
(8)可二次打包
客户端APP可被修改代码后,重新打包发布在市场上供用户下载
(9)可调试
客户端APP能够被调试,动态的提取,修改运行时的程序数据和逻辑
(10)代码可逆向
客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据
原文始发于微信公众号(京数安APP安全实验室):移动APP安全漏洞类型Top 10
