浅析移动新闻客户端APP的应用与安全

刘阳

新华社通信技术局

摘要：移动互联网的快速发展改变着人们的阅读习惯，人们获取新闻资讯的主要渠道从电视、报纸杂志转向移动终端。移动新闻客户端的广泛应用，为人们提供丰富资讯资源的同时也潜藏着更多安全隐患与威胁。本文以对移动新闻客户端应用中存在的安全风险和常见APP安全漏洞进行分析，提出通过安全扫描检测、安全性能评估和安全加密加固有效保障新闻客户端APP的应用安全。关键字： 新闻客户端 应用 安全风险 漏洞分析 安全检测 安全加固 移动互联网的快速发展正在改变着人们的阅读习惯，人们获取新闻资讯的主要渠道从电视、报纸杂志转向移动终端，移动新闻客户端逐渐成为人们获取新闻资讯的重要渠道。移动新闻客户端的广泛应用，一方面为人们提供了丰富的资讯资源、实时的信息推送和方便的社交互动，另一方面移动终端开放式操作系统、宽带无线接入技术的应用，以及移动客户端安全标准的不完备，使其应用潜藏着更多安全隐患与威胁。

1 移动新闻客户端的广泛应用

随着新媒体融合的快速发展，新闻客户端成为报刊、网站等以提供原创或聚合为主的新闻资讯业务在移动平台的拓展，注重个性化发展，满足用户的不同需求。图片、文字、社交、视频等多样化的报道方式让手机新闻客户端已经成为多数普通手机网民获取新闻的重要来源。即时的资讯推送、丰富的信息资源以及活跃的社交互动，使手机新闻客户端在手机网民中有了较高的普及使用率。根据比达咨询发布的最新监测数据显示，截至2014年12月底，中国智能手机用户规模达8.3亿。其中，新闻APP用户在中国智能手机用户中的渗透率为59.6%，用户规模达4.95亿。[1]

图1：2014年新闻客户端在智能手机用户中的渗透率

移动新闻客户端的应用有三种模式：传统媒体的独立应用：报纸、杂志等依托自身的信息资源，通过编辑、筛选、加工形成移动应用的主要内容。门户网站的移动化应用：如网易新闻、腾讯新闻、搜狐新闻等。其特点是新闻种类多、信息量大，具有技术先进、运营经验丰富、用户体验完善的优势。以技术平台为中介的新闻聚合服务类应用：由第三方技术团队开发，应用灵活度高，信息整合能力强，通过整合内容资源或利用其它网站的公开接口调用这些网站的新闻内容进行编排提供给用户。在移动互联网时代，媒体已经不仅仅是新闻信息传播的载体，而是深深嵌入用户的各种生活情境之中，服务也成为其重要的价值体现。从用户调查来看，新闻客户端对于用户的吸引力，前四条皆归类于内容方面，比如更新速度快、内容丰富、智能推荐以及独家新闻，其次为界面、互动、个性化等展现形式[2]。

图2：新闻客户端对用户的吸引力所在

移动网络的发展建设与Wifi的普及使人们能够更加快速、便捷、智能化地使用移动终端，更加方便、流畅地阅读新闻客户端的资讯信息。用户需求的不断增强及用户阅读习惯的改变推动着移动新闻客户端的快速发展，人们使用智能手机方便快捷地浏览新闻信息的同时，也给人们的信息安全带来隐患。

2 移动新闻客户端安全性分析

移动智能终端是具有开放式操作系统，使用宽带无线移动通信技术实现互联网接入，通过下载、安装应用软件和数字内容为用户提供服务的终端产品。通常具备高速网络接入能力；具备开放的、可扩展的操作系统平台；具备较强的处理能力和丰富的人机交互方式。移动智能终端操作系统是运行在移动智能终端上的系统软件，控制、管理移动智能终端上的硬件和软件，提供用户操作界面和应用软件编程接口。移动智能终端操作系统管理的资源中涉及用户利益的资源有通信资源、信源传感器和存储用户信息的存储器等。移动新闻客户端是运行在移动智能终端上向用户提供新闻资讯服务功能的客户端软件，属于移动APP。随着移动智能终端使用的增长，恶意移动APP数量也在剧增，2014年第一季度恶意移动APP的数量已经超过200万，年底突破300万，与2012年35万的恶意APP数量相比增长超过了8倍。阿里巴巴移动安全中心选取同等数量热门Android APP进行漏洞检测，这些APP活跃用户量可覆盖83%的移动端网民。被检测的APP中，近97%存在安全漏洞。其中，新闻、旅游类APP相对最不安全，漏洞总量约240个，高危漏洞量占比高达30%[3]。

图3：各类别APP漏洞总量和高风险漏洞占比情况

移动客户端其应用架构看起来象是一个C/S(客户端、服务器)结构，事实上，大多数移动APP本质上还是一个WEB(HTTP)应用。在目前还没有正式的移动APP安全标准的情况下，其应用潜藏着更多安全隐患。2.1移动客户端应用中存在的主要安全风险以WebView为主体开发的移动APP，传统WEB应用存在的SQL注入、文件上传、跨站等漏洞依然会存在。而且相当部分APP应用都采用明文的HTTP协议。Android 系统的大部分APP都是基于JAVA编程，容易进行逆向分析。相当一部分Android平台的APP应用在发布时都没有经过代码混淆，这让逆向分析变得更加容易。这些应用可以被插入恶意代码，然后重新发布，具有很强的欺骗性。移动APP系统权限的滥用。如读取短信记录、位置信息、照片功能被滥用，事实上，大部分APP都不需要读取短信记录的权限，却为恶意代码提供了便利。利用网站服务器与手机APP之间接口存在的漏洞对网站服务器发起攻击。相对于电脑端的访问控制，很多网站对手机APP端的访问管理和访问控制机制要弱很多，攻击能够轻易获取APP背后的服务器地址以及API接口信息，然后通过挖掘API接口的漏洞，直接获取服务器中的所有信息并发动进一步攻击。2.2移动客户端终端APP常见的安全漏洞静态破解：通过工具apktool、dex2jar、jd-gui、DDMS、签名工具，可以对任何一个未加密应用进行静态破解，窃取源码。二次打包：通过静态破解获取源码，嵌入恶意病毒、广告等行为再利用工具打包、签名，形成二次打包应用。本地储存数据窃取 ：通过获取root权限，对手机中应用储存的数据进行窃取、编辑、转存等恶意行为，直接威胁用户隐私。界面截取：通过adb shell命令或第三方软件获取root权限，在手机界面截取用户填写的隐私信息，随后进行恶意行为。输入法攻击：通过对系统输入法攻击，从而对用户填写的隐私信息进行截获、转存等恶意操作，窃取敏感信息。协议抓取：通过设置代理或使用第三方抓包工具，对应用发送与接收的数据包进行截获、重发、编辑、转存等恶意操作。

3 APP安全性能测试与安全加固有效保障新闻客户端的应用安全

对移动新闻客户端终端APP进行安全检测和审查，分析可能面临的威胁，当前存在的弱点，以及弱点被威胁利用的可能性及影响。进行加密加固服务将有效防止APP在运营中被破解、盗版、二次打包、注入、反编译等破坏，将有效保障新闻客户端APP的应用安全。3.1 安全扫描检测APP安全扫描检测：通过静态检测、动态检测及人工分析相结合的方式，利用二进制代码逆向分析、敏感函数实时监控等技术，定位应用中潜在的恶意行为和安全隐患。静态检测是使用逆向分析技术和扫描技术，分析APP是否包含病毒、分析APP所申请的敏感权限、触发的敏感行为、敏感词、资源文件等。静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态检测是将APP运行在一个受监控的环境中，通过捕获APP的行为，检查APP是否存在恶意行为和安全隐患。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。常用的漏洞监测工具：

工具名称	描述
Metasploit	渗透测试框架
John the Ripper	多平台哈希口令破解器
Nessus	远程安全扫描软件
Netcat	透过使用TCP或UDP协议的网络连接去读写数据的工具
Nikto	web扫描器
Acunetix Web Vulnerability Scanner 8	web扫描器
Dex2jar	用以将 Android 的 Dalvik Executable (.dex) format 文件转成 Java 类文件的工具
JD-gui	Java反编译工具
Tcpdump for Android	安卓系统下的tcpdump
USBCleaver	利用安卓USB接口自动获取PC相关信息
Dsploi	端口扫描，密码暴力破解，中间人攻击
MST for Android	国产WEB漏洞测试平台手机版
zANTI	Android平台下的渗透测试套件
DroidSQLi	Android平台下Mysql注入工具
Mercury	Android安全评估框架
DroidSheep	Android会话劫持安全测试工具
SSHTunnel	Android端口转发穿越防火墙工具
Android Data Extractor Lite	Android数据库导出工具
Burp Suite	Http/ssl下抓包改包工具
OpenVPN	VPN工具，用于穿越防火墙
wireshark	网络数据包分析软件
Ettercap	在以太网环境下的网络监视、拦载和记录工具，支持多种主动或被动的协议分析，有数据插入、过滤、保持连接同步等多种功能
Sqlmap、Havij、Pangolin	sql注入工具

3.2 安全性能评估APP安全评估是对APP进行从逻辑功能到业务系统的综合性分析，深入发掘安全隐患，提供修复建议。评估内容主要包括程序安全、数据安全、通信安全和系统安全。程序安全性能评估主要是测试APP是否能够校验自身完整性、能够防范通过反编译手段获取应用的逻辑、是否能够防范对其代码或资源文件篡改，防止应用程序被篡改。加强动态调试防范，测试APP是否能够防止动态调试、代码注入。进行登录检，测试APP是否采用登录控制机制、密码强度要求、双因子校验、超时重新鉴权机制。测试发布规范性，APP安装包中是否存在非发布的测试数据和冗余数据、是否包含未加密的敏感信息。数据安全性能评估主要是测试APP是否采取必要保护措施来防止用户输入的敏感信息不被截获；是否采用掩码机制来显示敏感信息，比如全程掩码显示密码、部分掩码显示个人隐私信息；是否存在明文存储敏感信息，能否存在未授权程序组件访问；是否采用了加密措施来传输敏感信息。通信安全性能评估主要是测试APP是否使用安全通信协议来进行数据传输，是否采用了足够的加密强度；测试APP服务器端是否能够有效防范重放攻击行为；测试APP与服务器间的通信是否可以被中间人截获、通信内容是否可以被修改。系统安全性能评估主要是测试APP在敏感信息输入时是否采用专用键盘，键位是否随机；APP是否能够防止界面被劫持，或界面被劫持时给出提示信息；APP是否能够防范通过截屏方式获取用户输入的敏感信息。3.3 安全加密加固为新闻客户端APP安全加固提出解决方案，防止逆向分析、恶意篡改、内存窃取和动态跟踪。通过加密加固可以抵御绝大部分的反向工具的解析，有效防止应用程序APP在运营过程中被破解、盗版、二次打包、注入、反编译等破坏，并能够对客户端在推广中进行渠道监测，对仿冒、篡改新闻客户端等恶意行为进行监测预警。对新闻客户端APP提供的安全加固解决方案，要不影响客户端的兼容性和稳定性，不影响客户端原有功能。加固后应用软件运行增加的CPU、内存等不影响用户的正常使用。安全加密加固服务包括以下方面。防止逆向分析：逆向分析是通过APP应用中的代码设计漏洞，窥探推理软件的设计思路和算法，继而进行反编译和反汇编，最终能通过逆向软件和相关技术操作，来窃取APP应用的DEX和RES等主要源文件资源。这是市场上APP盗版软件出现的主要技术手段。对APP软件进行技术加固，可以有效阻断逆向分析软件对应用代码的破译和反编译，是防止正版应用遭遇盗版侵权的核心技术。防止恶意篡改：恶意篡改应用内容和功能的方式很多，往往都是通过应用本身的安全漏洞进行破解，然后通过一些病毒程序、木马程序、非滤过性病毒等恶意代码，以各种非法手段来侵害用户的利益。对APP应用进行源代码检测和安全漏洞扫描，找出APP的漏洞和安全问题，提示开发者应做好哪些安全保护工作，防止APP被破解和恶意反编译。反动态跟踪：是对软件进行加密，防止恶意操作的重要技术手段。通过反动态跟踪加密，可以有效抑制动态调试程序、改变中断功能调用。在APP软件中设置软件自检代码，可以通过检测文件属性防止非法解密，篡改文件属性进行的恶意操作。数据二次加密：在开发者原有APP程序上，对APK包二次安全保护加密措施，比如对APP的DEX、RES、XML和签名文件等进行二次加密，同时不会对应用本身的功能和运行造成影响，有效提高应用对恶意篡改软件的防护性能。移动互联网时代，媒体已经不只是新闻信息传播的载体。大数据技术的应用，可以深入挖掘用户的阅读历史，分析出用户的阅读需求与阅读习惯，移动新闻客户端将为用户提供个性化、定制化的新闻服务。 参考文献

[1] 比达信息咨询. 2014年Q4中国手机新闻客户端市场研究报告. http://www.bigdata-research.cn/content/201502/769.html

[2] 速途研究院. 2014年5月新闻客户端市场分析报告. http://www.sootoo.com/content/497054.shtml

[3] 阿里巴巴移动安全应用漏洞分析报告.

http://blog.sina.com.cn/s/blog_13613fbcb0102v3gk.html

编辑：中国新闻技术工作者联合会