首页 > 梆梆资讯 > 高校APP安全风险分析

高校APP安全风险分析

2020-08-13 梆梆观点747

近年来,高校APP得到了迅速的发展及普及,“互联网+”和智能终端的快速发展为高校APP提供了技术基础和外部环境。但随着高校APP爆发式增长的同时,其应用的内在安全问题也逐步凸显。据有关消息报道,全国多所高校APP存在应用安全漏洞、应用泛滥、广告丛生等乱象,严重影响了广大师生健康有序的网络学习环境。基于此背景下,教育部等多部门也先后发布了教育移动应用的监管及备案要求文件,要求教育APP需要进行监管备案。

教育APP安全行业现状

1、部分APP技术能力和管理制度不足

“互联网+”政策实施为从事网络教育的企业注入了新活力,部分企业3至5年之间就完成了从初创到累计用户超过1000万的发展历程,但部分APP前期准备不充分,网络安全技术防护措施及安全管理制度难以满足企业发展规模需要,抵御网络攻击、防范信息窃取能力不足,存在一定安全隐患。

2、部分APP存在数据违规采集的情形

多种教育类APP通过线上答题器、多媒体课件展示、互动式小黑板等功能,采集各类用户数据,但不同程度存在超范围采集个人信息、未经用户同意采集个人信息的情况等问题。

公安机关网安部门在检查过程中发现,部分APP隐私协议未明示或明示过于复杂、难懂;部分APP存在读取通话记录及短信内容、收集用户通讯录及位置信息等超范围采集用户信息违法违规行为;部分APP通过HTTP非加密协议进行传输,后台数据保存也未严格加密,极易造成数据泄露。

3、网络安全风险防范有待加强

此次新冠肺炎疫情防控客观上造成了教育类APP用户激增,导致一些平台在风险防范等方面准备不足。如不久前媒体曾曝光出教育类APP的授课教师在直播中抽烟、观看网上教学视频需要先观看一定时间的未成年人不宜的广告等情况。

同时,一些教育类APP为追求利益,广告弹出频繁、大量推荐网络游戏、广告内容过度娱乐化,甚至存在涉黄涉赌等违法有害信息,污染青少年学习环境。

4、监管工作面临新挑战

教育类APP平台入门门槛低、受众范围广,特别在疫情期间的爆炸式增长,给教育等主管部门、相关监管部门带来了新挑战。部分APP应用商店、教育类APP运营企业的安全主体责任落实不到位,部分小众网课服务应用采取二维码的推广方式脱离监管。


高校APP安全现状

校园APP快速普及的同时,其安全问题也逐渐凸显。

在技术上,开发者为高校定制校园APP等碎片化服务而忽略安全问题;多数开发者的安全技术匮乏,无法就移动应用从设计、编码、测试、发布、更新等各个环节对安全风险进行控制。这些原因都可能导致校园APP在防攻击、防篡改、防病毒等方面安全防护能力较低。

在管理上,国内Android市场缺乏安全监管机制,并因Android平台的开源与开放性,校园APP市场需求大等一系列因素,导致众多高校校园APP出现诸多问题。

基于此种情况,本次抽取200家高校APP,从对自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全、恶意攻击防范能力等七大类指标进行了安全性测试,具体结果如下:

高校APP受漏洞影响,高危漏洞占86.7%,中危漏洞占10.2%,低危漏洞占3.1%。,如图1所示:

 


图1  高校APP漏洞风险级别占比

高校APP主要漏洞情况(Top10),如图2所示:

图2 高校APP主要漏洞情况(Top 10)


高校APP安全漏洞分析

1、程序源文件安全分析

应用程序中含编码阶段的代码包和配置文件,在Android开源的环境下,如果未对应用程序采取有效保护措施,可能面临被反编译的风险。攻击者可能使用下载工具对未经过加固保护的应用程序、可执行文件进行反汇编、反编译或动态调式等攻击;可能通过逆向法破解应用程序的实现逻辑,例如获取与服务器端的通讯方式、加解密算法、密钥、软键盘实现技术等,造成算法被窃取、文件被非法篡改或是程序接口被调用、篡改应用程序内容、植入恶意收费应用或广告SDK、引诱下载其他应用程序等。高校校园APP的开发者需保证应用软件包的完整性和可靠性。

2、数据存储与传输安全分析

数据存储安全分析

校园数据安全是高校信息化安全建设的重要组成部分。高校数据库一般都部署在学校内网的服务器中,并且有专门的防火墙限制,利用网络层面进行数据保护。而在使用移动应用的过程中,如果开发者在AndroidManifest.xml文件中权限配置不当,客户端本地静态数据如本地系统文件、本地业务数据等都可能被盗用,造成用户的敏感信息泄露。

数据传输安全分析

客户端与服务器之间传输数据通常遵循通信协议指定的内容格式和内容类型,如果未对传输数据加密,传输数据很有可能被还原成网络层的数据包进行解包并分析,暴露通信过程中的各种关键数据。

在使用HTTPS协议时,客户端需对服务器身份进行完整性校验,即验证服务器是否是真实合法的目标服务器。如果没有校验,客户端可能与仿冒的服务器进行通信链接,即造成“中间人攻击”。攻击者冒充服务器与手机客户端进行交互,同时冒充手机客户端与服务器进行交互,充当中间人转发信息的时候,也有可能窃取手机号、账号、密码等敏感信息。

3、身份认证安全分析

高校APP基于丰富的功能,包含:教师教学、学生学习、缴纳学费以及相关的校园活动,鉴别用户身份需要匹配对应的账户系统,此过程中存在被界面劫持的风险。界面劫持是指当客户端程序调用一个应用界面时,被恶意的第三方程序探知,如果该界面组件是恶意程序预设的攻击对象,恶意程序立即启动自己的仿冒界面并覆盖在客户端程序界面之上。此时用户可能在无察觉的情况下将自己的账号、密码信息输入到仿冒的信息输入界面中,恶意程序再把这些数据返回到服务器中,完成钓鱼攻击。界面劫持风险将导致用户关键信息,例如账号、密码、银行卡等关键信息被窃取等风险。


安全建议总结

随着教育部等八部门《关于引导规范教育移动互联网应用有序健康发展的意见》、《教育移动互联网应用程序备案管理办法》等一系列相关行业标准规范的颁布,同时结合《网络安全法》整体法规要求,标志着我国高校类APP正式告别野蛮生长时代,进入健康有序发展阶段。对于高校而言,贯彻落实行业的法律法规的合规性刻不容缓。高校APP安全越来越被重视,将安全融入到APP的开发周期中势在必行。

对于缺少专业的安全开发人员及相应检测工具的高校,在高校APP开发过程中做到严谨规范,可通过第三方安全检测机构或平台,对其APP进行安全检测,加固APP的安全性,为推向市场后用户的安全使用保驾护航。


  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >