移动终端安全性

1、移动终端安全性 互联网的发展可以用日新月异来形容，互联网给人们的生产生活带来巨大变化，对很多领域的创新发展起到很强带动作用。 但同时，因为网络具有开放性、隐蔽性、跨地域性等特性，存在很多安全问题亟待解决。2015年国际上就发生过很多网络安全事件，如美国人事管理局OPM数据泄露，规模达2570万，直接导致主管引咎辞职；英宽带运营商TalkTalk被反复攻击，400余万用户隐私数据终泄露；摩根士丹利35万客户信息涉嫌被员工盗取；日养老金系统遭网络攻击，上百万份个人信息泄露等。 可能大家都认为网络安全问题离我们很遥远。中国有6.7亿网民、413万多家网站。现如今，互联网技术已经深度融入到我们生活的方

2、方面面，衣食住行、支付、理财、通讯等全都与互联网离不开关系。而在我们的日常生活中，网络安全事件也时常发生。网易邮箱过亿数据泄漏网易邮箱过亿数据泄漏 10月19日下午消息，乌云今日宣布发现新漏洞，此漏洞将导致网易163/126邮箱过亿数据泄漏，报告称网易的用户数据库疑似泄露，影响数量总共数亿条，泄露信息包括用户名、MD5密码、密码提示问题/答案（hash）、注册IP、生日等。苹果苹果XcodeGhostXcodeGhost事件事件 Xcode为苹果公司提供的程序编写软件，用于开发苹果应用程序(苹果APP)。9月19日爆出开发者在通过一些非苹果公司官方渠道下载的Xcode工具开发苹果APP时，会向

3、正常的苹果APP中植入恶意代码，被植入恶意代码的苹果APP可以在App Store正常下载并安装使用，导致用户隐私泄露，微信、滴滴打车、百度音乐、58同城、网易云音乐等350余款APP被感染数千万社保用户信息泄露数千万社保用户信息泄露 2015年4月22日，从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市就已经超过30个，仅社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅的个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗用信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。七大酒店泄露大量房客开房信息七大酒店泄露大量房

4、客开房信息 2015年2月漏洞盒子平台的安全报告指出，知名连锁酒店桔子、锦江之星、速八、布丁；高端酒店万豪酒店集团、喜达屋集团、洲际酒店集团存在严重安全漏洞房客开房信息大量泄露，一览无余，黑客可轻松获取到千万级的酒店顾客的订单信息，包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。XSSXSS跨站脚本攻击跨站脚本攻击Android我查查app存在存储型xss漏洞，盲打已打管理cookie 人人车APP客户端存储型xss可推送各种信息SQLSQL注射漏洞注射漏洞拉手团购客户端存在SQL注入 新浪微博Android客户端漏

5、洞打包（设计缺陷/拒绝服务/敏感信息泄露/SQL注入）拒绝服务拒绝服务携程客户端拒绝服务漏洞 滴滴出行客户端本地拒绝服务 权限提升权限提升搜狗输入法权限提升漏洞中国人民保险app用户登录绕过+用户敏感信息泄露远程代码执行远程代码执行百度地图/输入法应用安卓版远程代码执行漏洞影音先锋安卓APP远程代码执行漏洞高德地图远程获取手机的敏感信息可远程命令执行（可以远程利用非webview）用户敏感数据泄露用户敏感数据泄露17173安卓客户端敏感信息泄露 CSDN安卓客户端账户密码本地明文存储可被远程窃取及其他漏洞 速8酒店Android客户端敏感信息泄露（明文密码/手机号/邮箱/订单等）设计错误设计错

6、误/ /逻辑缺陷逻辑缺陷搜狗手机浏览器逻辑缺陷可获取隐私信息 如意淘客户端升级校验不严格可导致被中间人利攻击利用植入木马e乐充公交卡充值支付漏洞（可实现不花钱充值）来源来源 /index.php/index.php 随着智慧城市和移动互联网的快速发展，智能手机、平板电脑等移动终端用户数量呈爆发式增长，移动应用快速发展，极大方便了广大用户日常工作、学习、生产和生活。移动互联的扩张，移动APP承载了更多企业的终端梦。用户手机安装APP以后，企业即埋下一颗种子，可持续与用户保持联系。 种子是种下了，可要是它本身就是个特洛

7、伊木马呢?试想你在某某知名APP平台下载安装一款知名APP，深更半夜突然响起了THE PHANTOM OF THE OPERA那会是怎样的一种情景！打包党：通过反编译官方apk，向apk内注入所需的代码，重新打包签名发布。可以插入广告，淘宝客，恶意代码等。接口党：通过抓包工具、逆向工具等得知客户端与服务器端的通信规则，进而伪造请求业务接口。木马党：伪造官方应用，盗取个人用户信息，非法使用流量，恶意吸费等。设计缺陷：设计存在缺陷可能导致直接获取内部关键系统甚至渗透，手机客户端XSS盲打后台。其他威胁： 手机二维码钓鱼。 无线DDOS攻击与CC攻击。 4G网络+高配手机形成的僵尸网络。 目前我们的

8、终端App测试还是以发现bug为主，主要测试流程就是客户端功能性覆盖，UI测试，以及自动化配合的性能，适配，压测等，对于App安全性测试貌似没有系统全面统一的标准和流程，其实安全性bug也可以是bug的一种，只不过更加隐秘，难以发现，尤其针对于终端App。1. 1. 用户隐私用户隐私是否在本地保存用户密码，无论加密与否敏感的隐私信息，如聊天记录、关系链、银行账号等是否进行加密是否将系统文件、配置文件明文保存在外部设备上部分需要存储到外部设备的信息，需要每次使用前都判断信息是否被篡改2. 2. 数据库安全数据库安全数据库访问控制数据机密性，是否加密储存数据完整性，是否可以备份和恢复3. 3. 文

9、件权限文件权限检查App所在的目录，其权限必须为不允许其他组成员读写4. 4. 网络通讯网络通讯检查敏感信息在网络传输中是否做了加密处理，重要数据要采用TLS或者SSL客户端与服务器端接口设计是否防重放，防篡改，防劫持。5. 5. 运行时解释保护运行时解释保护对于嵌有解释器的软件，检查是否存在XSS、SQL注入漏洞使用webview的App，检查是否存在URL欺骗漏洞6. Android6. Android组件权限保护组件权限保护禁止App内部组件被任意第三方程序调用。若需要供外部调用的组件，应检查对调用者是否做了签名限制7. 7. 升级升级检查是否对升级包的完整性、合法性进行了校验，避免升级

10、包被劫持8.8.日志日志/ /数据泄密数据泄密应用Release版本发布时应关闭Log输出uses-permission android:name=android.permission.READ_LOGS 用户身份相关的敏感信息：如手机、邮箱、身份证号码等打*显示首先介绍下要用到的工具：jdk:这个不用多说了baksmali：把classes.dex转为为smali文件的工具dex2jar：classes.dex转为jar包的工具jdgui：阅读jar文件的工具smali：把smali文件编译打包为classes.dex的工具sign_tool : 签名工具1、解压apk文件，获取classe

11、s.dex并拷贝到资源根目录2、使用baksmali工具将classes.dex转为smali文件，在命令行定位到资源根目录并执行： java -jar baksmali-2.0.3.jar -x classes.dex 执行完后会在当前目录下生成out目录，目录结构跟源码相同，在对应目录下查找对应的smali文件3、使用dex2jar工具把dex转为jar文件，拷贝classes.dex到资源目录下的dex2jar- 5目录下，把命令行定位到该目录并执行： dex2jar.bat classes.dex 执行完后会在当前目录下生成classes_dex2jar.jar文件，然后

12、可以通过jdgui进行查看4、使用jdgui工具查看com.zhf.cloudphone的源码l55、修改对应的smali文件6、使用smali-2.0.3.jar工具把smali文件转为dex文件，把命令行定位到资源根目录并执行： java -jar smali-2.0.3.jar -o classes.dex out 执行完后会生成并替换掉根目录下的classes.dex文件，这样就修改成功了7、把新生成的classes.dex文件替换到原来的apk文件里8、使用签名工具对apk进行签名，把apk拷贝到资源根目录下的sign_tool目录，把命令行定位到该目录并执行： java -jar

13、signapk.jar platform.x509.pem platform.pk8 com.zhf.cloudphone.apk Signed.apk 执行完后会在该目录下生成Signed.apk文件，这个文件就是最终的文件了9、卸载原来的com.zhf.cloudphone，安装第8步中生成的Signed.apk文件，运行效果如下图 1 1、需要的软件：、需要的软件：android sdk 抓包：tcpdump分析包：Wireshark 2 2、安装、安装tcpdumptcpdump 要为Android手机安装tcpdump，首先必须将Android手机root adb push D:/t

14、cpdump /data/local/tcpdump /把tcpdump放在data/local路径下 adb shell su chmod 777 /data/local/tcpdump3 3、使用、使用tcpdumptcpdump开始网络抓包开始网络抓包 cd /data/local/ ./tcpdump -p -vv -s 0 -w /sdcard/test.pcaptcpdumptcpdump常用的参数常用的参数-a 将网络地址和广播地址转变成名字；-e 在输出行打印出数据链路层的头部信息，包括源mac和目的mac，以及网络层的协议；-l 使标准输出变为缓冲行形式；-n 指定将每个监听

15、到数据包中的域名转换成IP地址后显示，不把网络地址转 换成名字；-nn： 指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示-t 在输出的每一行不打印时间戳；-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；-vv 输出详细的报文信息；-c 在收到指定的包的数目后，tcpdump就会停止；-F 从指定的文件中读取表达式,忽略其它的表达式；-i 指定监听的网络接口；-p： 将网卡设置为非混杂模式，不能与host或broadcast一起使用-r 从指定的文件中读取包(这些包一般通过-w选项产生)；-w 直接将包写入文件中，并不分析和打印出来；-s (snaplen)snaplen表示从一个包中截取的字节数。0表示包不截断，抓完整的数据包。默认的话 tcpdump 只显示部分数据包,默认68字节。-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）-X 告诉tcpdump命令，需要把协议头和包内容都原原本本的显示出来（tcpdump会以16进制和ASCII的形式显示），这在进行协议