2024移动安全技术及窃密防护

移动安全技术及窃密防护202401 移动互联网安全形势2 移动安全窃密场景演示3 移动安全的思考与建议用12.2亿户占网民总量82.2%操作系23.3亿统九成以上是Android/iOS用12.2亿户占网民总量82.2%操作系23.3亿统九成以上是Android/iOS用途游戏社交电子商务移动政务2014-2018年全国移动用户规模102014-2018年全国移动用户规模8.910.00%87.38.00%66.00%44.00%22.00%00.00%2014年 2015年 2016年 2017年 2018年移动用户规模：亿增长率%800002014-2018年中国移动互联网市场规模765476054260000 467204000030794.6140.00%120.00%100.00%80.00%60.00%2000013437.7 02014年 2015年 2016年 2017年 40.00%20.00%0.00%2018年营业规模：亿元环比增长率%2移动应用数量统计450400350300250200移动应用数量统计450400350300250200150100500415国内市场苹果商店谷歌商店280182截至2018年5月，我国本土第三方应用商店安卓移动应用累计数量达到截至2018年5月，我国本土第三方应用商店安卓移动应用累计数量达到415万款，苹果商店移动应用累计数量约182万款，而官方尚未进入我国市场的谷歌商店移动应用累计数量约280万款。3APP分发渠道百花齐放全国渠道市场共有434家，北上广占比47.93%。GooglePlay AppStore国外只有有2家商商

用市场下载站、论坛

70 6360 575040 29313020 1517186799101110 1112222345554手机系统漏洞依然严峻iOSAndroid漏洞数量对比VSiOS历年漏洞数量统计 Android历年漏洞数量统计iOS漏洞确实比Android少很多，但并不一定就是安全的！！！5移动APP安全岌岌可危据通付盾移动安全监测平台数据显示88,0204款APP存在已知高危安全漏洞，移动应用高危漏洞正在明显增多，高危漏洞容易被黑客攻击利用，造成交易劫持、信息篡改、数据泄漏等安全风险。移动APP建设单位、运营单位应当高度重视，提前规避安全风险6国外移动APP安全情况95%的APP没能通过基线安全测试，68%的APP存在4个以上安全漏洞。数据来源Appknox：检测样本来自美国、英国、澳大利亚、新加坡、印度TOP500电子商务类APP7移动互联网黑产肆虐2014-2017年，手机木马病毒感染用户及人均损失 恶意软件多种传播渠道65.019.24%应用市场543.0811%22.51%软件捆绑31.961.88手机资源站21.75手机论坛100.2070.5570.94711.25%17.34%网盘传播2014 2015 2016 2017病毒感染用户数（亿） 黑产人均损失（万元）12.37%16.29%二维码ROM内置手机恶意软件黑色产业链成熟，外部环境安全不佳。8数据泄漏屡见不鲜Facebook再曝数据丑闻：1.2亿用户数据面临泄露风险 航旅纵横APP泄露航班乘客个人隐私信息国家电网APP出现数据泄露涉及用户已超千万12306数据泄露原因曝光：手机APP漏洞导致“撞库”T-Mobile遭遇数据泄露，约200万用户受影响 数千款iOS/Android应用泄露了113GB数据HIV患者约会App泄漏5千用户数据世纪佳缘官方APP存在SQL注入，550W+用户数据被泄露越是不知道，影响越严重！9数据泄漏屡见不鲜10数据泄漏黑产数据泄漏屡见不鲜10移动互联网安全趋势移动恶意程序山寨应用混淆视听，严重侵害广大手机网民日常生活。

不法分子开始利用移动应用从事网络色情、网络赌博、贩毒吸毒等违法犯罪活动。

移动应用重功能，轻安全，导致安全漏洞防护能力弱，APP成为数据泄露新主体。111 移动互联网安全形势2 移动安全窃密场景演示3 移动安全的思考与建议移动安全窃密场景分析逆向破解逆向破解二次打包山寨仿冒1.中间人窃密4.恶意软件窃密3.APP漏洞利用2.调试注入典型的移动APP系统&网络环境13典型的移动APP系统&网络环境窃密场景一：网络中间人窃密恶意人员可以通过网络（局域网或Wi-Fi）来嗅探（访问）APP与服务器之间通信的任何信息（敏感数据），或者试图修改信息（数据操作）。14窃密演示一：中间人窃密手机APP程序使用HTTP明文传输账号密码到服务器验证，本视频利用BurpSuite抓包截取账号密码。账号密码的丢失会导致用户个人信息泄露，甚至可能造成财产损失。15窃密场景二：恶意软件窃密智能手机用户可以免费下载APP应用，有时也会错误地安装恶意软件。恶意软件有可能会利用程序间通信功能或程序内部的漏洞，来实现窃密目的。16窃密演示二：界面劫持通常恶意APP会捆绑官方APP，被打包下载，并静默安装到手机。恶意软件仿制官方APP登录页面，并在用户打开官方APP时，覆盖其页面。当用户在被覆盖的页面输入个人信息时，恶意APP窃取到用户数据。17窃密场景三：APP漏洞利用如果APP应用存在文件处理功能上的漏洞，恶意人员可以使用恶意文件来利用它并访问应用的敏感信息，一旦被打开，它将利用应用的漏洞产生严重破坏。18窃密演示三：ZipperDown漏洞漏洞原理：第三方zip库在解压zip文件过程中没有考虑文件名中带有”../../”这样的情况，从而产生了目录穿越漏洞，导致iOS应用下载了恶意的zip文件，并且使用ziparchive库解压，利用漏洞可以做到appcontainer目录下的任意文件覆盖，造成应用崩溃、任意代码执行的风险。19窃密场景四：调试注入恶意人员利用手机终端的ADB调试功能可以分析APP应用，并获得应用信息或功能的访问权限。我们需要注意合法手机用户也可以恶意地窃取应用里的敏感信息。2021窃密演示四：APP注入 211、通过逆向分析等方式对该APP进行破解，获取该APP的关键实现逻辑，找到1、通过逆向分析等方式对该APP进行破解，获取该APP的关键实现逻辑，找到输入卡号和密码等关键函数的调用位置；2、用Xposed等框架进行恶意代码注入，会在用户输入卡号和密码时进行劫持窃取；3、将获取到的用户名和密码发送到黑客服务器上。窃密场景五：APP逆向破解恶意人员通过Androidkiller、JEB、Jadx等逆向工具进行反编译后查看源代码，通过一定的特征追踪到程序关键处，对关键处进行分析或是爆破以达到破解的目的。22窃密演示五：APP破解&用户信息遍历1、使用任意用户号码尝试登陆APP，提示密码错误，更改手机号后提示未注册；2、通过逆向分析获取登陆功能的实现逻辑及关键密钥；3、根据逆向分析结果编写自动化脚本，实现对该APP用户集的遍历，从而获取注册该平台的用户账号信息。获取用户账号信息后，可进一步通过暴力破解得到用户密码等关键信息，从而劫持用户数据，甚至窃取用户钱包、银行卡信息等，造成用户的财产损失，同时造成企业商业机密泄露，影响企业声誉和资产安全。23窃密场景六：APP反编译和二次打包反编译是将打包生成的APK文件装换成为汇编文件，并对其中的配置文件进行解码的过程。Android系统上常使用的工具apktool。反编译是将打包生成的APK文件装换成为汇编文件，并对其中的配置文件进行解码的过程。Android系统上常使用的工具apktool。二次打包是指将反编译后的APK文件，进行篡改并重打包，重新生成APK文件，然后将生成的APK文件进行签名安装。24窃密演示六：二次打包二次打包植入恶意代码后，APP的性能、用户体验和外观都跟原版APP一样，但它二次打包植入恶意代码后，APP的性能、用户体验和外观都跟原版APP一样，但它悄悄运行着其他恶意程序，轻者消耗流量，重则恶意扣费、偷窥隐私等。25窃密场景七：山寨仿冒山寨仿冒是指未经版权所有人同意或授权的情况下，通过盗用正版应用的山寨仿冒是指未经版权所有人同意或授权的情况下，通过盗用正版应用的图标、名称、仿冒知名软件功能、盗用正版软件界面等方式对正版应用进行仿冒，再上架到移动应用市场的移动应用程序。应用名称版本号所属市场页面地址手机淘宝3.0安贝市场/app/info/appid/11307手机淘宝3.0安卓之家/xtgj/2504076.html手机淘宝3.0安粉矶钓/app/info/appid/1130726窃密演示七：仿冒微信通过仿冒正版微信的图标、名称、软件运行及登录界面等，骗取用户微信账号及密码。271 移动互联网安全形势2 移动安全窃密场景演示3 移动安全的思考与建议移动APP安全威胁总结身份认证绕过二次打包植入代码（病毒、广告）身份认证绕过二次打包植入代码（病毒、广告）据界面劫持钓鱼……APP程序安全Root环境/模拟器已安装xposed、等攻击插件框架/木马……运行环境安全HTTP明文传输HTTPS中间人劫持……网络通信安全暴力破解密码Session重放SQL注入拒绝服务……服务端API安全29移动APP安全防御技术终端威胁感知① ② ③

WEB防火墙（WAF）自适应保护（RASP）APP安全加固① ② ③ ……

通信协议加密通信数据加密典型的移动APP系统&网络环境

业务安全① ② ③ ④ ……敏感数据加密数据安全保护本地存储加密① ②

网络屏蔽&混淆（防火墙、蜜罐、API鉴权等）30甲方产品服务甲方产品服务合规持续改进乙方全流程保障合规监管方31甲方：做好全生命周期安全-从源头抓起业务梳理需求分析业务梳理需求分析架构设计SDL规范源码审计安全测试安全设计安全开发安全运营安全发布渠道监测威胁感知应急响应安全加固安全组件版权保护32业界最佳实践-DevSecOps开发安全运营一体化：全生命周期、全流程、持续改进33乙方：提供全流程安全保障-产品与服务安全与业务融合、一站式产品服务设计咨询开发咨询上线保护运行监测运营保障业务梳理设计咨询开发咨询上线保护运行监测运营保障业务梳理安全需求威胁建模安全规划规范安全培训编码规范源码审计渗透测试安全加固安全组件上线评估环境监测攻击监测崩溃监测行为分析漏洞监测盗版监测安全预警应急响应34监管：采取全方位监测布控-技管并