摘要：上篇中篇回顧通過收費情況樣本測試后的掃描時間漏洞項對比以及掃描能力這幾個方面對阿里聚安全漏洞掃描騰訊金剛審計系統百度移動云測試中心以及進行了對比分析。我推測百度對于此類漏洞的檢測規則是判斷是否有這個函數。

上篇、中篇回顧：通過收費情況、樣本測試后的掃描時間、漏洞項對比以及掃描能力這幾個方面對阿里聚安全[1]、360App漏洞掃描[2]、騰訊金剛審計系統[3]、百度移動云測試中心[4]以及AppRisk Scanner[5]進行了對比分析。作為本系列的最后一篇，我將會以4個隨機選取的APP的測試結果來進行對比。

選取的APP：說明一下這次選擇的四個app是根據下載和安裝量來選擇，分別在網絡工具類、天氣、社交資訊類和搜索工具類選擇了下載量和安裝量最大的。出于對應用的隱私保護這里把最后選定的應用名隱去暫時叫做A應用。

評測方法：將以上4個APP分別上傳到五家掃描平臺，都分別得到5家平臺的掃描速度和結果。除了在上篇中對比掃描時間外，這里還要對5家的掃描結果進行對比。但是實際操作下來4個APP的對比工作量實在太大，所以我最后從工作量小易于分析的原則出發，選擇了A應用來最為結果對比。

下面我將以A應用的掃描結果為例，詳細分析一下各個平臺的掃描結果的漏報和誤報，從而評估其掃描結果的可信度。

A應用的掃描結果如表4-1所示。

表4-1掃描結果總覽

A應用只有一個dex文件，這排除了隱藏dex對結果的影響，接下來的章節中對掃描結果進行詳細的對比分析。

表4-3 WebView繞過證書校驗漏洞分析結果

WebView 繞過證書校驗漏洞是指 onReceivedSslError 函數中調用 proceed 方法，會導 WebView 忽略校驗證書的步驟。對于 WebView 繞過證書校驗漏洞，經過比對，阿里和金剛定位的漏洞位置一致。因此我認為360和AppRisk漏報了2個，百度漏報了1個。我推測百度對于此類漏洞的檢測規則是判斷是否有onReceivedSslError 這個函數。

SslErrorHandler 這個類會代表一個請求去處理ssl error。 SslErrorHandler 會被 WebView 創立然后傳給 onReceivedSslError 函數進行處理。其實真正做證書處理的函數是 SslErrorHandler 類的 proceed 函數。這個函數一般會是在 SslErrorHandler 函數里面進行調用，但是它還是可能在其他函數中被調用。因此檢查proceed這個函數會更加全面。阿里與金剛應該是檢查 Landroid/webkit/SslErrorHandler;->proceed()V。百度漏報的一個正好符合我的推論。

表4-4 證書弱校驗分析結果

證書弱校驗漏洞是在實現的 X509TrustManager 子類中 checkServerTrusted 函數沒有校驗服務器端證書的合法性導致的。360漏報4個，金剛漏報2個，AppRisk漏報3個。經過我的分析，一共有6處調用了checkServerTrusted，其中2處對證書進行了驗證；而4處沒有驗證，直接返回，有兩種形式，如下圖所示：

我推測，漏報的原因是多了兩行param導致掃描器認為對證書有校驗。

表4-5 WebView明文存儲密碼風險分析結果

經過分析，我猜測AppRisk是通過 loadUrl 函數判斷是否使用了 WebView，然后在使用 loadUrl 的類中搜索該 WebView 是否調用 setSavePassword(false) 方法。而我在反編譯的代碼中進行全局搜索，一共有34處調用 loadUrl；其中4處所處的類中顯式調用了 setSavePassword(false) 方法，符合我的猜測，由于其他3處沒有調用 loadUrl ，所以AppRisk漏報了3處。

百度的檢測邏輯就比較難猜測，它不僅通過 loadUrl，還通過其他方法判斷是否使用了 WebView，所以它可能沒有漏報，但是誤報率比較高。阿里沒有檢測出那些通過 findViewById 方法獲得的 WebView 引起的明文密碼存儲風險，漏報了4處。

表4-6 日志泄露風險分析結果

各個掃描平臺對日志泄露風險的處理方式完全不同，在此一起討論。

從掃描結果來看，阿里好像只檢測 System.out.print 函數打印的內容。并沒有過濾Log函數。實際上，Log函數也會泄露敏感的日志信息。

360認為只要存在Log日志，不管是 System.out.print 還是Log函數，都認為存在日志泄露風險。但無論日志泄露有多少，都只會給出一個存在Log日志泄露的風險，而且沒有具體的漏洞位置。

百度和AppRisk對待日志泄露的態度相似，檢測Log函數。

所以從我這看，阿里、360以及百度和AppRisk的出發點是不同的。結果也沒有很好的可比性。能可比的，就是對待這個日志泄露風險的一個規則。

表4-7 PendingIntent誤用風險分析結果

百度的 PendingIntent 誤用風險，不僅包括 Intent 為空的情況，還包含了隱式Intent的情況。A應用中，有2個是空Intent，有3個是隱式Intent。而阿里和AppRisk的 PendingIntent 誤用風險監測可能只包括Intent為空的情況，所以只檢測出2處漏洞，漏報了3個隱式的Intent。如果從兩者的檢測內容上看，阿里、百度和AppRisk都沒有誤報的情況。

五個掃描都具有掃描WebView遠程代碼執行漏洞，但是給出的結果卻不一樣。掃描結果如下表所示：

表 4-8 WebView遠程代碼執行漏洞分析結果

在WebView遠程代碼執行漏洞檢測中，經過人工分析，確認阿里、金剛以及AppRisk各漏報1個，360漏報3個。阿里沒有識別 findViewById 方法實例化的 WebView，因而漏報了1個。

只有阿里、百度和AppRisk這三個掃描器包含該掃描項。

阿里的檢測規則（猜測）：

1) 檢測特征函數 DexClassLoader 以及 PathClassLoader 的構造函數。

2) 檢測該特征函數的傳入參數（加載路徑）是否包含“sdcard”字符串

百度的檢測規則（猜測）：

1) 檢測特征函數 DexClassLoader 以及 PathClassLoader 的構造函數

AppRisk的檢測規則（猜測）：

2) 檢測 DexClassLoader 中 loadClass 調用

我在反編譯的代碼中進行全局搜索 “DexClassLoader;->loadClass”，一共有9處，故猜測AppRisk的檢測規則為檢測 loadClass 函數的調用。

由于檢測點不一樣無法判斷具體的漏報和誤報。

表4-9 AES/DES弱加密分析結果

該項金剛不會檢測，而360和AppRisk都沒有檢測出 AES/DES 弱加密風險，都漏報了1個。而百度卻檢測出15個弱加密風險。經過分析，我猜測百度只是檢測是否包含AES或者DES，并沒有判斷加密模式是否為ECB，使用其他加密模式是不存在安全隱患的。而阿里正確檢測出1個，因此我的結論是百度誤報14個漏洞，360和AppRisk漏報1個。

表4-10 WebView組件系統隱藏接口漏洞分析結果

360沒有掃描出WebView隱藏接口漏洞，原因未知。

金剛誤報了9個，而且還有2個漏洞漏報；百度漏報了4個漏洞，只正確找出1個。通過之前的掃描能力分析我可知，金剛可能僅僅是尋找是否有使用了 WebView，而沒對WebView是否啟用了 JavaScript 進行檢查，所以誤報率很高。百度沒有誤報，但漏報很多，可能是百度沒有判斷 WebView 是否啟用了 JavaScript，所以本著減少誤報的原則，只報告百分之百確定的漏洞。

AppRisk的檢測規則可能非常簡單粗暴，僅僅檢查 loadUrl 來確定是否使用了 WebView，因而誤報率很高。

阿里可能首先判斷 WebView 是否允許 JavaScript 運行。只有在 JavaScript 允許運行時移除隱藏接口才有意義；然后如果 JavaScript 開啟，那么就判斷 WebView 是否移除了 “searchBoxJavaBridge_”、“accessibilityTraversal”以及“accessibility” 這3個接口。如果都移除了才安全。所以阿里漏報和誤報都很低。

通過此次評測，我基本了解了目前國內移動安全掃描平臺的發展狀況，了解了主流掃描平臺的檢測能力，包括掃描項、漏洞的檢測規則等。我發現沒有一家掃描平臺可以覆蓋所有的安全漏洞和風險。

相對來說， AppRisk掃描速度最快，掃描結果展示更加專業；360和金剛作為老牌的掃描器，盡管掃描速度慢了一點，但掃描能力和結果展示也比較不錯；阿里聚安全的掃描項覆蓋廣一些，漏報和誤報率較低，檢測結果更加可信一點。百度作為其中唯一一家收費的掃描平臺，在某些掃描項的掃描能力上處于領先位置，掃描速度也比較快。總之，五家掃描平臺在競爭中互相學習，取長補短。

Reference：

［1］阿里聚安全 http://jaq.alibaba.com/

［2］360APP漏洞掃描 http://dev.360.cn/mod/vulscan/

［3］騰訊金剛審計系統 http://service.security.tence...

［4］百度移動云測試中心 http://mtc.baidu.com/startTes...

［5］AppRisk Scanner https://apprisk.newskysecurit...