NAGAIN：安卓APP安全漏洞的自动化挖掘

　　近年来，随着智能手机的普及，APP数量增长也是呈现出几何式的增长，同样APP风险各类事件也呈现出爆炸式的增长，各种漏洞消息此消彼长，漏洞类型层出不穷。而由于谷歌Android系统开源架构特性，安卓移动应用早已成为APP风险重灾区。

　　目前的APP风险主要有服务端漏洞和客户端漏洞两种，在服务端漏洞方面主要有各种API接口引发的传统WEB漏洞和利用无限制，直接攻击服务端 ；在客户端漏洞方面则有各种本地APP漏洞 ，利用可能需要交互或者借助安装插入恶意APP。这些漏洞已经深深危害了APP开发商和开发者利益，漏洞不仅呈现出类型多，数量也多得吓人。

　　近日，NAGAIN娜迦信息在移动安全极客沙龙上分享了安卓APP安全漏洞的自动化挖掘的最新研究报告。报告显示Android APP的漏洞类型与数量繁多，诸如SQL注入、webview系列漏洞、文件模式配置错误、HTTPS不校验证书、拒绝服务攻击等。针对这些乱象，NAGAIN娜迦信息(www.nagain.com)经过几年摸索和研究后，不断完善APP漏洞的自动化挖掘技术，并在APP漏洞的自动化挖掘方面获得了众多成就。

　　据调查数据显示，绝大多数APP都存在着安全漏洞，这可能会导致它们在未来感染严重的恶意病毒。根据惠普对来自600多家福布斯全球2000强企业的2100多个移动应用的调查分析，显示90%的应用都有潜在漏洞，最常见的安全漏洞包括二次打包、后门注入风险、未加密数据储存以及使用不安全的协议来传输数据等，这些漏洞不仅对开发者的利益和名誉构成威胁，同时也会对用户的利益造成严重危害。

　　NAGAIN娜迦信息在2013年提出APP漏洞挖掘测试点规范化模板，在次年3月完成了漏洞挖掘辅助分析模块，在APP静态分析、动态监控上取得了空前的突破，之后NAGAIN娜迦信息陆续为国内多家银行提供专业化的漏洞测试服务中，积累了大量的APP漏洞挖掘经验，并结合这种经验开发、推出了全自动化的APP安全扫描产品。在未来，NAGAIN娜迦信息会继续深研APP安全漏洞的自动化挖掘技术， 打造移动安全健康生态链。