一、前言

随着Android操作系统的快速发展,运行于Android之上的APP如雨后春笋般涌现。由于一些APP的开发者只注重APP业务功能的实现,对APP可能出现安全问题不够重视,使得APP存在较多的安全隐患。国内一些安全厂商为这些开发者提供了各种各样的安全服务,包括APP的加固、安全漏洞分析等。

目前在业界有很多自动化检测APP安全性的在线扫描平台。为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。

希望此次的调研结果可以为读者提供更加可靠的安全漏洞扫描服务建议。

二、分析对象

这一章主要介绍需要对比的扫描平台和需要测试的APP样本。

2.1 对比平台

扫描平台 网址
阿里聚安全漏洞扫描 http://jaq.alibaba.com/
360APP漏洞扫描 http://dev.360.cn/mod/vulscan
腾讯金刚审计系统 http://service.security.tencent.com/kingkong
百度移动云测试中心 http://mtc.baidu.com/startTest/safe
AppRisk Scanner https://apprisk.newskysecurity.com
爱加密
梆梆加固 https://www.bangcle.com/
AppTest掌测 http://www.appstest.cn/
TestIn测试平台 www.testin.cn/
腾讯优测 http://utest.qq.com/
爱内测 http://www.ineice.com/
AppScan http://www-03.ibm.com/software/products/zh/appscan-mobile-analyzer
Fortify SCA http://www8.hp.com/us/en/software-solutions/application-security/

对上述扫描平台,我都上传APP进行了测试,简单比较它们的扫描结果。最后,综合检测结果、它们在漏洞扫描领域的知名度以及它们的用户数量,我选取表中前五个扫描平台,即阿里聚安全、360APP漏洞扫描、金刚、百度和AppRisk进行详细的对比分析;由于金刚和优测都是腾讯旗下的产品,所以我选择了专注于APP审计的金刚审计系统。

爱加密扫描速度很快,但整个漏洞扫描就是为其加密模块做铺垫,扫描项非常简单,没有实际的漏洞扫描,只是简单的字符串匹配,故扫描速度非常快。梆梆加密扫描速度也比较快,扫描内容比爱加密要丰富,一共14项,包含了一些高危漏洞的扫描,如与WebView相关的一些漏洞等,但是其漏洞扫描模块也是为了给自己的加固服务做铺垫,所以没有选取这两家。AppTest掌测测试成本太高,每次测试2999元起,所以没有对它进行详细分析。腾讯优测的扫描结果与金刚非常相似,但没有金刚详细;有时候扫描结果只有漏洞概述,没有漏洞的详细信息,也没有修复建议。爱内测的扫描结果非常简略,只判断是否存在漏洞,而不统计漏洞的个数以及漏洞位置。

AppScan和Fortify SCA是国外的扫描平台,分别属于IBM和惠普。我分析了它们的扫描结果,AppScan的免费版本检测结果没有多大的参考价值,重要的漏洞信息都没有显示,如果测试时间超过4个小时,则会中断扫描服务。Fortify SCA的扫描侧重Web应用程序,虽然也可以扫描Android程序,但扫描结果以Web漏洞为主,差强人意,而且在免费试用15天后,每测试一个APP需要花费2000美元,所以我没有详细分析这两个平台。

以下简单统计了各个平台的收费情况,如下表:

扫描平台 是否收费 备注
阿里聚安全漏洞扫描 免费 完全免费
360APP漏洞扫描 免费 完全免费
腾讯金刚审计系统 免费 完全免费
百度移动云测试中心 9.9元/次 新用户可以获得一张9元代金券,只能用百度钱包支付剩余的0.9元
AppRisk Scanner  不详 普通账户可以测试2个app,随后可以通过可以通过邮件联系AppRisk升级账户
爱加密 免费 漏洞扫描主要为其加密服务做推广,扫描能力很差
梆梆加固 免费 漏洞扫描主要为其加密服务做推广,扫描能力较差
AppTest掌测 2999元/次 AppTest掌测还有其他测试服务,收费标准不同,安全测试是2999元/次
TestIn测试平台 2000元/次 安全扫描服务需要填写非常详细的申请表才有机会获得1次试用服务
腾讯优测  200元/次 新用户免费使用一次。通过U币的形式付款,1U币=1元
爱内测 免费 爱内测免费版主要为其定制化检测做广告
AppScan  混合 AppScan将用户分为免费账户和标准账户,免费账户的扫描结果简单;标准账户可以按次收费也可以按月收费
Fortify SCA 2000美元/个 新用户免费试用15天,超过15天后每测试一个APP需要2000美元,一年内可对同一个APP进行多次测试

2.2 测试样本

测试样本:

名称  版本
WiFi万能钥匙 4.0.9
墨迹天气 5.0916.02
新浪微博 6.7.0
测试app
手机百度 7.4

通过上传精心构造的包含各种漏洞的“测试APP”,测试它们的扫描能力,随后上传应用市场中下载量较大的应用程序进行实际测试。由于受时间和资源的限制,并未大规模上传应用进行测试,也只是详细对比了WiFi万能钥匙的扫描结果。因此扫描结果有些许的片面性,但总体反映各个扫描平台的检测能力。

三、总体能力对比

3.1 扫描时间对比

以下列表各个扫描平台扫描时间的对比,金刚只能检测50M以内的APP,所以没有新浪微博的检测时间,而百度每检测一次收费9.9元,而且没有记录扫描时间;受限于时间和经费,没有再次检测APP以获取扫描时间,单位:分。

  阿里聚安全 360 百度 金刚 Apkrisk
WiFi万能钥匙(5.38M) 6 458 1395 3
墨迹天气(14.9M) 16 1256 1577 4
手机百度(36.8M) 21 261 710 7
新浪微博(53.2M) 45 1112 8

补充一下,时间的获取是以扫描界面内对应APP给出的或者是以收到扫描结束通知为依据的。可以看出,阿里聚安全和AppRisk的扫描时间与APP的大小成正比,而360和金刚没有明显的规律。当用户把APP投入阿里聚安全和AppRisk中扫描时,可以根据APP的大小预测大致的扫描时间;而投入到360和金刚时却无法预测大致的扫描时间。

3.2 漏洞项对比

360将许多类型相同的漏洞分成多个具体的漏洞,我将其合并一下(组件导出归为一类,文件读写归为一类,SQL注入归为一类)。

以下是具体漏洞个数对比:

漏洞类型 阿里聚安全 360 金刚 百度 Apkrisk
WebView组件远程代码执行漏洞
WebView绕过证书校验漏洞
WebView明文存储密码风险    
WebView组件系统隐藏接口漏洞
组件导出风险  
存在可以被恶意访问的表单        
存在外部可访问的表单        
本地代码执行漏洞        
本地SQL注入漏洞      
私有文件遍历漏洞      
getDir任意读写        
通用签名漏洞        
安全加固风险        
不安全的反射        
META-INF目录存在敏感文件信息        
ContentProvider文件跨域访问        
Native动态调试        
固定端口监听风险        
Zip文件目录遍历漏洞        
密钥硬编码      
广播信息泄露风险      
Url用户敏感信息泄露        
Uri用户敏感信息泄露        
外部URL可控的WebView        
KeyStore风险      
尝试使用root权限        
Intent敏感数据泄露风险      
运行其他可执行程序风险        
第三方库检测        
日志泄露风险  
Dex文件动态加载风险    
数据库全局读写漏洞      
WebView File域同源策略绕过    
Fragment注入漏洞    
初始化IVParameterSpec函数出错  
PendigIntent误用风险    
用户自定义权限滥用风险  
SharedPrefs任意读写
源码泄露漏洞(混淆率等)        
App存在隐式意图调用    
加密哈希函数漏洞MD5        
加密哈希函数漏洞SHA-1        
证书弱校验
主机名弱校验  
随机数加密破解漏洞
Intent Scheme URL漏洞    
本地拒绝服务      
全局文件可读可写
强制类型转换本地拒绝服务漏洞      
AES/DES弱加密  
RSA弱加密风险      
调试开关开启风险
备份功能开启风险
中间人攻击  

从上表可以看出,五个产品相同的扫描项有9种,其中四个产品相同的扫描项有7种。总的来说,这五个产品基本覆盖了目前Android应用程序可能出现的所有漏洞。

总体覆盖量排名:阿里聚安全(35个)>360(31个)>百度(26个)>金刚(23个)>Apkrisk(20个)

3.3 扫描能力对比

最后我用自己编写的测试APP测试各个扫描平台的扫描能力。这些扫描能力主要分为静态检测能力和动态检测能力。静态检测能力包括检测隐藏dex、过程间分析、正向分析、逆向分析;动态测试主要是指测试拒绝服务漏洞的能力,拒绝服务漏洞又可以划分为:空Intent引起的拒绝服务,强制类型转换引起的拒绝服务以及序列化对象导致的拒绝服务。由于这些检测能力决定了扫描器扫描结果的精度和准度,因此我详细分析了各个扫描平台的扫描能力。

由于内容太长,我将扫描能力和扫描结果单独作为下篇分享出来,敬请关注!

APP漏洞自动化扫描专业评测报告(上篇)的更多相关文章

  1. APP漏洞自动化扫描专业评测报告

    一.前言 目前在业界有很多自动化检测APP安全性的在线扫描平台.为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析:主要从漏洞项对比.扫描能力对比以及扫描结果 ...

  2. APP漏洞自动化扫描专业评测报告(中篇)

    前言 上一篇中通过对阿里聚安全[1].360App漏洞扫描[2].腾讯金刚审计系统[3].百度移动云测试中心[4]以及AppRisk Scanner[5] 在收费情况.样本测试后的扫描时间对比和漏洞项 ...

  3. APP漏洞自动化扫描专业评测报告(下篇)

    上篇.中篇回顾:通过收费情况.样本测试后的扫描时间.漏洞项对比以及扫描能力这几个方面对阿里聚安全[1].360App漏洞扫描[2].腾讯金刚审计系统[3].百度移动云测试中心[4]以及AppRisk ...

  4. 移动APP漏洞自动化检测平台建设

    移动APP漏洞自动化检测平台建设   前言:本文是<移动APP客户端安全笔记>系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,A ...

  5. 安全基线自动化扫描、生成报告、加固的实现(以Tomcat为例)

    一.背景说明 当前在服务上线前,安全部门都会对服务基线配置进行把关,整个流程可以分为扫描.生成报告.修复三步. 在执行这一流程时当前普遍的做法是半自动化的,扫描和生成报告是自动化的,执行扫描.执行生成 ...

  6. 国内APP漏洞扫描收费情况调查

    概述 上一次分享了应用加固的评测后,很多人想看看漏洞扫描相关的对比数据.其实在选择市面上这些移动安全类的产品时,经常为各种复杂的数据而感到疑惑,不知道怎么来评判各自的性能以及价格,从而选择出一款性价比 ...

  7. APP漏洞扫描器之本地拒绝服务检测详解

    APP漏洞扫描器之本地拒绝服务检测详解 阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面.本文将讲一下应用漏洞 ...

  8. APP漏洞扫描用地址空间随机化

    APP漏洞扫描用地址空间随机化 前言 我们在前文<APP漏洞扫描器之本地拒绝服务检测详解>了解到阿里聚安全漏洞扫描器有一项静态分析加动态模糊测试的方法来检测的功能,并详细的介绍了它在针对本 ...

  9. APP漏洞扫描用地址空间随机化【转】

    转自:http://www.cnblogs.com/alisecurity/p/6141575.html 前言 我们在前文<APP漏洞扫描器之本地拒绝服务检测详解>了解到阿里聚安全漏洞扫描 ...

随机推荐

  1. php获得本机ipv4地址

    if (isset($_ENV["HOSTNAME"])) $MachineName = $_ENV["HOSTNAME"]; else if (isset($ ...

  2. 机器学习——Day 2 简单线性回归

    写在开头 由于某些原因开始了机器学习,为了更好的理解和深入的思考(记录)所以开始写博客. 学习教程来源于github的Avik-Jain的100-Days-Of-MLCode 英文版:https:// ...

  3. Python定制容器

    Python 中,像序列类型(如列表.元祖.字符串)或映射类型(如字典)都是属于容器类型,容器是可定制的.要想成功地实现容器的定制,我们需要先谈一谈协议.协议是什么呢?协议(Protocols)与其他 ...

  4. 多文件上传ajax jquery

    jquery的ajaxSubmit()和多文件上传 <%@ page language="java" import="java.util.*" pageE ...

  5. Php.ini文件位置在哪里 Php.ini文件找不到

    转载自:http://www.php100.com/html/php/rumen/2013/0831/26.html [导读] Php ini文件是php的一个配置文件,在windows主机中如果你未 ...

  6. html中canvas渲染图片,并转化成base64格式保存

    最近在做一个上传头像然后保存显示的功能,因为涉及到裁剪大小和尺寸比例,所以直接上传图片再展示的话,就会出现问题,所以就想用canvas来渲染裁剪后的图片,然后转化成base64格式的图片再存储,这样取 ...

  7. ES6 学习小结1

    ECMAScript 6(以下简称ES6)是JavaScript语言的下一代标准.因为当前版本的ES6是在2015年发布的,所以又称ECMAScript 2015. 也就是说,ES6就是ES2015. ...

  8. OPPO R9sPlus MIFlash线刷TWRP Recovery ROOT详细教程

    教程转载来自 残芯此生不换  OPPO R9sPlus 目前最简单的刷Recovery root 方法,强烈推荐 新机想要刷第三方卡刷包的最简单过程是:           手机关机-->下载M ...

  9. asp.net ajax 简单案例

    第一步先引用 scriptManager <asp:UpdatePanel ID="UpdatePanelGuanZhu" runat="server"& ...

  10. HTTP 状态码 301 和 302 详解及区别——辛酸的探索之路

    转自:http://blog.csdn.net/grandpang/article/details/47448395 一直对http状态码301和302的理解比较模糊,在遇到实际的问题和翻阅各种资料了 ...