2024移动安全技术及窃密防护

移动安全技术及窃密防护

2024

0

移动互联网安全形势

目录移动安全窃密场景演示>

Contents

移动安全的思考与建议

移动互联网发展现状

操作、

系统7

V乂机上网用户、，备能手机终端

12.2亿23.3亿

占网民总量九成以上是

82.2%Android/iOS

2014-2018年全国承动用户规模2014-2018年中国移动互联网市场规模

10-^9—10.0%8000014000%

8

130.001)

8100飞

6).00*

三节13437.741.00%

2

2)00/

0r10.00*OOOH

2014年2015年2016年2017年2018年201d年

■移动用户规模.亿-•-结长率X■营业规模：亿元一■-环比名长率9

移动APP高速增长

移动应用数量统计

450415

400

350

280

300

250

182

200

150

100

50

0

国内市场苹果商店谷歌商店

截至2018年5月，我国本土第三方应用商店安卓移动应用累计数量达到

款，苹果商店移动应用累计数量约款，而官方尚未进入我

国市场的谷歌商店移动应用累计数量约款。

3

APP分发渠道百花齐放

全国渠道市场共有家，北上广占比

手机系统漏洞依然严峻

iOS与Android漏洞数量对比

20095

842

■20101

■20119

■20128

20137

201413

2015125

■2016523

5■2017842

2018453

移动APP安全岌岌可危

据通付盾移动安全监测平台数据显示款APP存在已知高危安全漏洞，移动应用高危漏洞正在

明显增多，高危漏洞容易被黑客攻击利用，造成、、等安全风险。

•未痔除有风险的webi系统电藏接口27.89%

•WebVlew远程代码执行安全18.33%

•Webi组件忽格SSL证书验证幽谀漏涮15.93%

•固定柒”监听风险15.3刑

•logid录安全6.M*

，SgrEPreferencc抓**通安全5.08%

,SharedPreferencci；：—安登4.00%

•SSL中间人攻击安仝1.64%

•0ebvgft£il.2Mi

•其他4.45%

•高危漏洞•中危漏洞•低危涡河

图5二季度高电应用漏洌等级分布图6二季度高危反川漏洞臭型分布

移动APP建设单位、运营单位应当

6

国外移动APP安全情况

的APP没能通过基线安全测试,的APP存在4个以上安全漏洞。

78%

57%BrokenTrustManogerforSSL

48%ApplicationLogs

44%BrokenhostnameverifierforSSL

44%InsufficientTransportLayerProtection

TOP5THREATSGLOBALLYDETECTED

数据来源Appknox：检测样本来自美国、英国、澳大利亚、新加坡、印度TOP500电子商务类APP

7

移动互联网黑产肆虐

2014—2017年，手机木马病毒感染用户及人均损失恶意软件多种传播渠道

6

5.019.24%应用市场

5

411%22.51%软件捆绑

3.08

手机资源站

31.961.88

21.75手机论坛

11.2S%

10.947

0.55717.34%网盘传播

00.207

12.37%

2014201520162017二维码

病毒感染用户数（亿）黑产人均损失（万元）16.29%ROM内置

手机恶意软件成熟,安全不佳。

数据泄漏屡见不鲜

,2万+用户遭殃

FACEBOO

加拿

Facebook再曝数据丑闻：航旅纵横APP泄露航班乘客个人隐私信息

国家电网APP出现数据泄生涉及用户已超千万

12306数据泄露原亩曝光：手机APP漏洞导致“撞

库“11

T-Mobilc遭遇数据泄露，约200万用户受影响J数千款iOS/Android应用泄露了U3GB数据

第二方SDK导致数前APP存在泄叫整墨翦后誓霜篇连锁酒店泄漏5亿条开房信息

…世纪佳缘官方APP存在SQL注入，550W+用户数据被泄露

数据泄漏黑产

标题内容创建时间

12W炒股用户数据.沪A.深A-刚入手的的1.有12W户2.信息格式用户姓名+联系方式+资金账户号+沪A证券号+深A证券号+三方存管银行归屈3.需要的买.2018-10-31

自劭发货耕的很清楚了易复制货源.恕不退款！有问题及时沟通，咨询！03:46:00

清华总裁班通讯录+清华21期1.清华总裁班一个文档有两个表格,一个表格有1600人左右,一共3000+人清华总裁班开餐厅破产.2018-10-31

MBA通讯录一自动发货03:21:00

独家-华为内部通讯录-自动发信息格式是英文名-中文名-所在团队-座机-手机-邮箱-传真等等需要的扫.有问题及时咨询！易复制资源,恕不退货！2018-10-31

货02:49:00

各个城市的凤楼.一次给一个购买后私信我需要哪个城市很多为亲测有效0.0005一个城市的很全一天内回豆！2018-10-31

城市的基本包含当地城市01:26:00

机特工备份同步支持所有安卓我们目前能做到的功能有：手机定位（手机经纬度、网络定位）短信、电话记录、电话录音、qq、微信聊天记录、修时录制屏幕、2018-10-30

机器随时随地前置后置拍照、随时录音功能、图标隐藏。下面是操作图。以上功能只需要拿到对方前提下才能实现、特工私家侦探必23:12:00

备、发现老公老婆婚外恋无法取证此款软件可以帮助到你们。Btc:0.07

自动发货2元中彩网1.5万数出售彩累一手数据刚刚出库的，网站是2元购彩网的数据,包含用户名.姓名MD5密码，邮箱地址,部分有地址，出款银行,银行2018-10-30

据10.30刚刚脱裤账号以及身份证号码,数据总共1.5万左右,整理到EXCEL格式如下,一张实前面,一张实后面的20:17:00

出售彩票数据1C.30刚刚出库出售彩票数据10.30刚刚出库的,包含用户名.姓名MD5密码.邮箱地址，部分有地址.出款银行,银行账号以及身份证号码，先2018-10-30

的到先得18:07:00

社会调查网站5.2W用户资料社会调查网站5.8W用户资料用户名密码邮箱手机号2018-10-30

17:36:00

出一100W条左右上海机关单出一100W条上海机关单位人员信息,这是第一部分第二部分也请在数据专区找.那一份80W条左右虚拟不可逆资源，拍前考虑清2018-10-30

位人员信息楚是否需要，出链接失效（可回信补链接）外，概不退款拍下自动显示下载地址17:19:00

移动互联网安全趋势

形势严峻,不法分子开始利用移动移动应用重功能，轻安

山寨应用混淆视听，严应用从事、全，导致频发,

重侵害广大手机网民日等违防护能力弱，APP成为

常生活。法犯罪活动。数据泄露新主体。

11

移动互联网安全形势

目录移动安全窃密场景演示>

ContentsJ

移动安全窃密场景分析

智能r•机安全区域服务器安全区域

5.逆向破解

恶苣攻击人员6二.次打包

7山.寨仿冒

攻击1.中由人窃密

4.恶意软件藕智能手机攻击攻击

应用市

攻击

文件APP

3G/4G/Wi-Fi网络上的恶Web服务

GJ一I被动攻击意攻击人员

攻Ji

粗心的用户USB所有用户信

攻击adbF机上的息

文件

SD卡debug恶意用户

3.APP3..调试注入

13

窃密场景一：网络中间人窃密

恶意人员可以通过网络（局域网或Wi-Fi）来嗅探（访问）APP与服务器之间

通信的任何信息（敏感数据），或者试图修改信息（数据操作）。

窃密演示一：中间人窃密

手机APP程序使用账号密

码到服务器验证，本视频利用BurpSuite

抓包。账号密码的丢失会

导致用户个人信息泄露，甚至可能造成

财产损失。

15

窃密场景二：恶意软件窃密

智能手机用户可以免费下载APP应用，有时也会错误地安装恶意软件。恶意软

件有可能会利用程序间通信功能或程序内部的漏洞，来实现窃密目的。

16

窃密演示二：界面劫持

*ServingFlaskappMserverM(lazyloading)

*Environment:production

UseaproductionWSGIserverinstead.

*Debugaode:on

*Runningon:5000/(PressCTRL*Ctoquit)

*Restartingwithstat

♦Debuggerisactive!

*DebuggerPIN:676-924-156

D

通常恶意APP会捆绑官方APP,被打包下载，并静默

安装到手机。恶意软件，并在

用户打开官方APP时，。当用户在被覆盖

的页面输入个人信息时，恶意APPo

窃密场景三：APP漏洞利用

如果APP应用存在文件处理功能上的漏洞，恶意人员可以使用恶意文件来利用

它并访问应用的敏感信息，一旦被打开，它将利用应用的漏洞产生严重破坏。

18

“II中国移就4G17：25

ZipperDown演示视频匕

窃密演示三：ZipperDown漏洞a微博

漏洞原理：

第三方zip库在解压zip文件过程中

,从而产生了

目录穿越漏洞，导致iOS应用

,并且使用ziparchive库解压，利用漏洞可

以做到appcontainer目录下的任意文件覆盖，

造成、的风险。

HM

按季度订阅微博会员¥30.00

用于微博

6星38项

微博会员守权

19

当

I|00010119或尤

窃密场景四：调试注入

恶意人员利用手机终端的ADB调试功能可以分析APP应用，并获得应用信息或功能的

访问权限。我们需要注意合法手机用户也可以恶意地窃取应用里的敏感信息。

20

窃密演示四：APP注入

Is通过逆向分析等方式对该APP进行破解，获取该APP的

关键实现逻辑，找到输入卡号和密码等关键函数的调用位

置；

2、‘用Xposed等框架进行恶意代码注入，会在用户输入卡

号和密码时进行劫持窃取；

3、将获取到的用户名和密码发送到黑客服务器上。

Kfevtj*elaMMII*

窃密场景五：APP逆向破解

恶意人员通过Androidkillcr、JEB、Jadx等逆向工具进行反编译后查看源代码，通过一定

的特征追踪到程序关键处，对关键处进行分析或是爆破以达到破解的目的。

22

窃密演示五：APP破解&用户信息遍历

BurpHrwd<rMp«ate«Help

|IProxy]Sp"jScwe.]KrvdsjR-Bjjeoueztf|D«Mr；£cmp.ar；Exnwder；Presetopoom[皿岁o(wj1

|—・•《,■:MTT6—>\WvbUfI-ryI0ft.t]

Oopkarc«0<•"Acoon::团

RAWFaramt9M•，，Ht«

0

1、使用任意用户号码尝试登陆APP,提示密码错误，更改

手机号后提示未注册；♦

2、通过逆向分析获取登陆功能的实现逻辑及关键密钥；

3、根据逆向分析结果编写自动化脚本，实现对该APP用户◎

集的遍历，从而获取注册该平台的用户账号信息。a

获取用户账号信息后，可进一步通过暴力破解得到用

<1

户密码等关键信息，从而劫持用户数据，甚至窃取用户钱

包、银行卡信息等，造成用户的财产损失，同时造成企业O

商业机密泄露，影响企业声誉和资产安全。□

窃密场景六：APP反编译和二次打包

是将打包生成的APK文

件装换成为汇编文件，并对其中

的配置文件进行解码的过程。

Android系统上常使用的工具

apktooL

是指将反编译后的

APK文件,进行篡改并重打包,

重新生成APK文件，然后将生成

的APK文件进行签名安装。

24

窃密演示六：二次打包

M2/UM11>UIMKA

5■田oclbetJOOjH/231<B

2917007MIOKB

»\WM>612APKM

K«»9^P^M17/7/11：M>Wotfow**❷

UMAabUJarf»8U

WiArypkBMM1/SHDK8M

J.wvfc*»*5O9p«^P€M«tt2KB

.tHm

G«MA0

jR«H

.工作(GO

j—g)

“M««MS

二♦和

二次打包植入恶意代码后，APP的性能、用户体验和外

观都跟原版AP〉一样，但它悄悄运行着其他恶意程序，

轻者消耗流量，重则恶意扣费、偷窥隐私等。

8个rm

叩依。。1反编译apk文件sign叩k为修改好的apk文件签名

窃密场景七：山寨仿冒

是指未经版权所有人同应用名称版本号所属市场页圆地址

意或授权的情况下，通过盗用正版手机海宝J.0安贝市场/app/info/appid/11307

应用的、、仿冒知名手机海宝J.0安卓之家http:〃/xlQi/2504076.html

、盗用正版等方式对手机淘宝J.0安粉矶钓http:〃wwwappfuncn/app/info/aD0d/：l=3O7

正版应用进行仿冒，再上架到移动项目盗版应用相关信息正版应用相关信息

应由市场的移动应用程序。

MD5值c923169e14fecf89b055efff4aab753d

图标嚣）

名字手机淘宝手机淘宝

大小0.93MB38.33MB

版本3.05.5.0

包名com.zlsjtb.nodelcom.taobao.taobao

CN=taobao&OU=taobao&

签名证书CN=im&OU=ie&O=ing&L=ot&ST=wn&

0=taobao&L=hangzhou&

信息C=cn

ST=zhejiang&C=CN

26

:。:▼/13:02

窃密演示七：仿冒微信

通过仿冒正版微信的、、

等，骗取用户

微信。

微信

27

匕qa1

移动互联网安全形势

目录移动安全窃密场景演示>

Contents__________________________>

移动安全的思考与建议-----

移动APP安全威胁总结

APP程序安全运行环境安全网络通信安全服务端API安全

•身份认证绕过・Root环境/模拟器•HTTP明文传输・暴力破解密码

・二次打包植入代码•已安装xposed、cydia・HTTFS中间人劫持・Session重放

等攻击插件框架

（病毒、广告）・SQL注入

•手机存在病毒/木马

•动态调试修改内存数•拒绝服务

据

•界面劫持钓鱼

29

移动APP安全防御技术

终端威胁感知

1运行环境监测WEB防火墙（WAF）

2恶意攻击监测自适应保护（RASP）

智能手机安全区域3程序崩溃监测