2024移动安全技术及窃密防护

0移动安全技术及窃密防护20241移动互联网安全形势3移动安全的思考与建议2移动安全窃密场景演示手机上网用户12.2亿占网民总量82.2%智能手机终端23.3亿九成以上是Android/iOS游戏7.37.98.38.68.90.00%2.00%4.00%6.00%8.00%10.00%02468102014年2017年2018年2014-2018年全国移动用户规模2015年 2016年移动用户规模：亿增长率%46720605420.00%

40.00%20.00%140.00%120.00%100.00%80.00%60.00%06000040000 30794.620000

13437.7 800002014年2014-2018年中国移动互联网市场规模765472015年 2016年 2017年 2018年营业规模：亿元 环比增长率%社交电子商务移动政务用户操作系统用途2移动互联网发展现状移动A

PP高速增长截至2018年5月，我国本土第三方应用商店安卓移动应用累计数量达到415万款，苹果商店移动应用累计数量约182万款，而官方尚未进入我国市场的谷歌商店移动应用累计数量约280万款。415280182450400350300250200150100500国内市场苹果商店谷歌商店移动应用数量统计3全国渠道市场共有434家，北上广占比47.93%。11

1222

23455

5679910

111517

1829

31

57

63504030201007060黑龙江云南海南山西辽宁江西天津广西香港重庆河南河北陕西山东四川安徽江苏贵州浙江湖北湖南福建上海广东北京手机应用管理厂商第三方应用市场下载站、论坛电信运营商手机制造商A

PP分发渠道百花齐放Google

PlayApp

Store国外只有有2家4VS5iOS历年漏洞数量统计 Android历年漏洞数量统计iOS漏洞确实比Android少很多，但并不一定就是安全的！！！手机系统漏洞依然严峻i

O

S

与A

n

d

roi

d

漏洞数量对比移动A

PP安全岌岌可危据通付盾移动安全监测平台数据显示88,0204款APP存在已知高危安全漏洞，移动应用高危漏洞正在明显增多，高危漏洞容易被黑客攻击利用，造成交易劫持、信息篡改、数据泄漏等安全风险。移动APP建设单位、运营单位应当高度重视，提前规避安全风险6国外移动A

PP安全情况95%的APP没能通过基线安全测试，68%的APP存在4个以上安全漏洞。7数据来源Appknox：检测样本来自美国、英国、澳大利亚、新加坡、印度TOP

500电子商务类APP恶意软件多种传播渠道手机恶意软件黑色产业链成熟，外部环境安全不佳。移动互联网黑产肆虐65.019.24%应用市场543.0811%22.51%软件捆绑31.961.88手机资源站21.75手机论坛100.2070.5570.94711.25%17.34%网盘传播2014 2015 2016 2017病毒感染用户数（亿） 黑产人均损失（万元）12.37%16.29%二维码ROM内置82014-2017年，手机木马病毒感染用户及人均损失越是不知道，影响越严重！9FACEBOOK数据泄密，五千万用户数据遭滥用数据泄漏屡见不鲜加拿大航空移动APP数据泄露，2万+用户遭殃第三方SDK导致数百万APP存在泄露个人数据的风险华住旗下多个连锁酒店泄漏5亿条开房信息Facebook再曝数据丑闻：1.2亿用户数据面临泄露风险 航旅纵横APP泄露航班乘客个人隐私信息国家电网APP出现数据泄露

涉及用户已超千万12306数据泄露原因曝光：手机APP漏洞导致“撞库”T-Mobile遭遇数据泄露，约200万用户受影响 数千款iOS/Android应用泄露了113GB数据HIV患者约会App泄漏5千用户数据世纪佳缘官方APP存在SQL注入，550W+用户数据被泄露数据泄漏屡见不鲜10数据泄漏黑产11移动应用重功能，轻安全，导致安全漏洞频发，防护能力弱，APP成为数据泄露新主体。不法分子开始利用移动应用从事网络色情、网络赌博、贩毒吸毒等违法犯罪活动。移动恶意程序形势严峻，山寨应用混淆视听，严重侵害广大手机网民日常生活。移动互联网安全趋势1移动互联网安全形势3移动安全的思考与建议2移动安全窃密场景演示移动安全窃密场景分析典型的移动APP系统&网络环境2.调试注入133.APP漏洞利用逆向破解二次打包山寨仿冒中间人窃密4.恶意软件窃密窃密场景一：

网络中间人窃密14恶意人员可以通过网络（局域网或Wi-Fi）来嗅探（访问）APP与服务器之间通信的任何信息（敏感数据），或者试图修改信息（数据操作）。窃密演示一：

中间人窃密手机APP程序使用HTTP明文传输账号密码到服务器验证，本视频利用Burp

Suite抓包截取账号密码。账号密码的丢失会导致用户个人信息泄露，甚至可能造成财产损失。15窃密场景二：

恶意软件窃密16智能手机用户可以免费下载APP应用，有时也会错误地安装恶意软件。恶意软件有可能会利用程序间通信功能或程序内部的漏洞，来实现窃密目的。窃密演示二：

界面劫持17通常恶意APP会捆绑官方APP，被打包下载，并静默安装到手机。恶意软件仿制官方APP登录页面，并在用户打开官方APP时，覆盖其页面。当用户在被覆盖的页面输入个人信息时，恶意APP窃取到用户数据。窃密场景三：

A

PP漏洞利用18如果APP应用存在文件处理功能上的漏洞，恶意人员可以使用恶意文件来利用它并访问应用的敏感信息，一旦被打开，它将利用应用的漏洞产生严重破坏。窃密演示三：

Z

i

p

p

e

r

D

o

w

n

漏洞19漏洞原理：第三方zip库在解压zip文件过程中没有考虑文件名中带有”../../”这样的情况，从而产生了目录穿越漏洞，导致iOS应用下载了恶意的zip文件，并且使用ziparchive库解压，利用漏洞可以做到app

container目录下的任意文件覆盖，造成应用崩溃、任意代码执行的风险。恶意人员利用手机终端的ADB调试功能可以分析APP应用，并获得应用信息或功能的访问权限。我们需要注意合法手机用户也可以恶意地窃取应用里的敏感信息。20窃密场景四：

调试注入21窃密演示四：

A

PP注入1、通过逆向分析等方式对该APP进行破解，获取该APP的关键实现逻辑，找到输入卡号和密码等关键函数的调用位置；2、用Xposed等框架

进行恶意代码注入，会在用户输入卡号和密码时进行劫持窃取；3、将获取到的用户名和密码发送到黑客服务器上。恶意人员通过Androidkiller

、JEB

、Jadx等逆向工具进行反编译后查看源代码，通过一定的特征追踪到程序关键处，对关键处进行分析或是爆破以达到破解的目的。22窃密场景五：

A

PP逆向破解窃密演示五：

A

PP破解&

用户信息遍历231、使用任意用户号码尝试登陆APP，提示密码错误，更改手机号后提示未注册；2、通过逆向分析获取登陆功能的实现逻辑及关键密钥；3、根据逆向分析结果编写自动化脚本，实现对该APP用户集的遍历，从而获取注册该平台的用户账号信息。获取用户账号信息后，可进一步通过暴力破解得到用户密码等关键信息，从而劫持用户数据，甚至窃取用户钱包、银行卡信息等，造成用户的财产损失，同时造成企业商业机密泄露，影响企业声誉和资产安全。反编译是将打包生成的APK文件装换成为汇编文件，并对其中的配置文件进行解码的过程。Android系统上常使用的工具apktool。二次打包是指将反编译后的APK文件，进行篡改并重打包，重新生成APK文件，然后将生成的APK文件进行签名安装。24窃密场景六：

A

PP反编译和二次打包窃密演示六：

二次打包25二次打包植入恶意代码后，APP的性能、用户体验和外观都跟原版APP一样，但它悄悄运行着其他恶意程序，轻者消耗流量，重则恶意扣费、偷窥隐私等。窃密场景七：

山寨仿冒应用名称版本号所属市场页面地址手机淘宝3.0安贝市场/app/info/appid/11307手机淘宝3.0安卓之家/xtgj/2504076.html手机淘宝3.0安粉矶钓/app/info/appid/11307山寨仿冒是指未经版权所有人同意或授权的情况下，通过盗用正版应用的图标、名称、仿冒知名软件功能、盗用正版软件界面等方式对正版应用进行仿冒，再上架到移动应用市场的移动应用程序。26窃密演示七：

仿冒微信27通过仿冒正版微信的图标、名称、软件运行及登录界面等，骗取用户微信账号及密码。1移动互联网安全形势3移动安全的思考与建议2移动安全窃密场景演示移动A

PP安全威胁总结APP程序安全身份认证绕过二次打包植入代码（病毒、广告）动态调试修改内存数据界面劫持钓鱼……运行环境安全Root环境/模拟器已安装xposed、cydia等攻击插件框架手机存在病毒/木马……网络通信安全HTTP明文传输HTTPS中间人劫持……服务端API安全暴力破解密码Session重放SQL注入拒绝服务……29移动A

PP安全防御技术① SQLite数据库加密② SharePre数据加密APP安全加固① 防逆向破解② 防调试注入③ 界面防劫持……终端威胁感知① 运行环境监测② 恶意攻击监测③ 程序崩溃监测通信协议加密通信数据加密本地典存型储的加移密动APP系统&网网络络屏环蔽境&混淆（防火墙、蜜罐、API鉴权等）WEB防火墙（WAF）自适应保护（RASP）敏感数据加密数据安全保护业务安全① 防止撞库破解② 防止批量注册③ 业务风险控制④ ……30多方共建移动安全环境甲方全生命周期31监管方技管并重乙方全流程保障产品服务合规合规持续改进业务梳理需求分析架构设计SDL规范源码审计安全测试安全加固安全组件版权保护渠道监测威胁感知应急响应安全 安全设计 开发安全 安全运营 发布32甲方：

做好全生命周期安全-

从源头抓起业界最佳实践-

D

ev

S

ec

O

p

s33开发安全运营一体化：

全生命周期、全流程、持续改进设计咨询开发咨询上线保护运行监测运营保障业务梳理安全需求威胁建模安全规划S-SDL规范安全培训编码规范源码审计渗透测试安全加固安全组件上线评估环境监测攻击监测崩溃监测行为分析漏洞监测盗版监测安全预警应急响应34乙方：

提供全流程安全保障-

产品与服务安全与业务融合、

一站式产品服务全网监测对全国范围内的移动应用进行安全监测分析和预警一经发现移动应用存在违法违规的行为，立