作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。
目前app内常用的安全验证,有密码、手势、指纹、面部识别。从便利性&安全性从高到低的划分是,面部识别、指纹识别、手势、密码。随着时代和技术的进步,安全验证更加趋向于个人生物化。n年前,如果密码被a知道了,a完全可以通过密码/手势来获得和你同样的权利进行相关操作。现在,则可通过生物认证。指纹和面部识别来确定是否是本人进行操作,大大提升了产品的安全性。
但是面对最新的生物识别随着便利的同时也会出现各种各样的问题,
如:人脸识别的,光线折射、年龄、识别角度、胡须、眼睛、背景...
指纹识别
如:油污、划伤、表面污染、脱皮、纹路改变、汗水、手部湿度...
密码识别
常见的弱口令、空口令、易识别...
本次主要还是分析的是app中的手势密码安全
实体手机
进入客户端设置手势密码的页面进行手势密码设置。进行手势密码设置,观察客户端手势密码设置逻辑是否存在最少点位的判断:
进入客户端设置手势密码的页面进行手势密码设置。进行手势密码设置,观察客户端手势密码设置逻辑是否存在最少点位的判断:
中风险:
没有最少点位限制,能设置任意点位数量的手势密码,如 1 个点位:
无风险:
有最少点位限制。
1、设置手势密码时应限制最少点位数量,建议最少为 4 个。
手势密码最少选择4个点,最多选择9个点,理论上的密码组合总共有985824种,扣除掉其中不可能完成的组合(如一些点不允许绕过),最终的可能性是389112种。可见,直接破解手势密码是不大可能的
测试描述
检测客户端在取消手势密码时是否会验证之前设置的手势密码。
逍遥模拟器/或者其他模拟器
实体手机
进入修改手势密码功能,查看是否要求验证旧的手势密码成功才可以设置新的手势密码。
高风险:
无需验证旧的手势密码即可设置新的手势密码。
无风险:
需要验证旧的手势密码成功才可设置新的手势密码。
1、必须验证旧的手势密码成功才可设置新的手势密码。
但是这个其实也是要看业务场景,如果业务场景本来就没有修改手势密码这一条,自然也不会存在这个安全评估检查了
测试描述
测试客户端是否存在手势密码多次输入错误被锁定的安全策略。防止木马使用穷举法暴力破解用户密码。
逍遥模拟器/或者其他模拟器
实体手机
测试使用手势密码时是否有限制验证失败的次数,检查关闭应用后重新打开失败次数是否会重置:
中风险:
多次输入错误的手势密码,程序不会进行锁定。或能通过重新打开 APP的方式绕过错误次数限制。
无风险:
程序有限制错误的手势密码尝试次数。
1、限制手势密码的失败尝试次数,超过次数进行一定时间的锁定。
原文始发于微信公众号(漏洞404):app客户端评估- 手势密码安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论