移动安全测试 微信爆破报告
本帖已被设为精华帖!
We are Mr Bug ! We are App Bug Hunter !!
活动简介
- 主刀医生: Mr Bug 项目团队
- 发起时间: 3 月 22 日
- 发起方: 毛里求斯
- 目标:微信 App
- 体检项:only 安全 (报告中只展示检测不通过的点)
Android
报告
针对 Android 版本 6.3.15
| 分类 | 检查项 | 结果 | 危害 |
|---|---|---|---|
| 反编译 | 反编译 | 未通过 | 可随随意查看源码 |
| 应用组件安全 | Activity | 未通过 | 可以被外部应用调用 |
| ~ | Service | 未通过 | 可以被外部应用调用 |
| ~ | Broadcase Receiver 安全 | 未通过 | 可以被外部应用调用 |
| ~ | Intent 安全 | 未通过 | Intent 风险和隐式广播风险都存在风险 |
| Logcat 日志检测 | |||
| ~ | 调试信息 | 未通过 | 调试信息中可能会带入敏感信息 |
| Hook 检测 | |||
| ~ | 用户名密码获取 | 未通过 | 可通过 hook 技术获取用户个人信息 |
| 风险代码 | |||
| ~ | 文件权限风险 | 未通过 | 可被外部应用调用这些不安全的文件 |
| ~ | webview 默认开启密码保存功能 | 未通过 | 密码会被明文保到/data/data/com.package.name/databases/webview.db |
| ~ | webview 使用 searchBoxJavaBridge_风险 | 未通过 | 远程攻击者利用此漏洞能实现本地 java 和 js 的交互,可以对 Android 移动终端进行网页挂马从而控制受影响设备。 |
| ~ | webview 使用三方插件风险 | 未通过 | 恶意攻击者就可以使用” accessibility” 和 “accessibilityTraversal” 这两个 Java Bridge 来执行远程攻击代码 |
| ~ | webview 危险函数使用 | 未通过 | webview 中开启 JavaScript、Plugin 插件,文件访问等功能,可能会存在文件篡改、信息泄漏、远程代码执行等安全漏洞。 |
| ~ | webview 使用 addJavascriptInterface 风险 | 未通过 | 远程攻击者利用此漏洞能实现本地 java 和 js 的交互,可以对 Android 移动终端进行网页挂马从而控制受影响设备。 |
iOS
报告
针对 iOS 版本 6.3.15
| 分类 | 检查项 | 结果 | 危害 |
|---|---|---|---|
| 反编译 | |||
| ~ | dumpdecrypted 砸壳检测 | 未通过 | |
| ~ | 二次打包检测 | 未通过 | |
| ~ | 重新安装检测 | 未通过 | |
| 本地数据安全 | |||
| ~ | 本地 Documents 目录数据安全 | 未通过 | 本地 Document 目录存储所有敏感信息(通讯录、聊天记录等),且可通过 iTunes 自带的 backup 转移到任意电脑中 |
| 外部 hook 检测 | |||
| ~ | 通过 dylib 添加 hook 并重签名检测 | 未通过 | 不通过,可被注入 hook |
重点漏洞
发现一高危漏洞:本地数据存储,包括聊天记录、通讯录等均为明文。
在 iOS 8.4 以下,只需连接电脑,使用 iExplorer 类的应用内数据查看工具即可获取本地数据库,详见:https://testerhome.com/topics/2071
在 iOS 8.4 以上,电脑无法直接获取某个应用的本地数据,但可通过 iTunes 的 backup 功能把所有应用的数据转移到电脑中,然后通过文件类型、文件大小等方法找到微信数据库文件。
此问题在一年前即被发现,然而直到一年后的最新版本仍然存在!
建议改进方案:数据加密存储,或数据库本身加密
mrbug 团队背后的故事
7 月 16 日,中国移动互联网测试大会将在北京举行,mrbug 团队部门成员将亮相大会,为你讲述 mrbug 团队背后的故事
「原创声明:保留所有权利,禁止转载」
加精理由: 对 app 的安全分析比较独到. 提供了清晰的安全关注点.
🐂
医生又开刀了
赞一个