2024移動(dòng)安全技術(shù)及竊密防護(hù)

移動(dòng)安全技術(shù)及竊密防護(hù)

2024

0

移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)

目錄移動(dòng)安全竊密場(chǎng)景演示>

Contents

移動(dòng)安全的思考與建議

移動(dòng)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀

操作、

系統(tǒng)7

V乂機(jī)上網(wǎng)用戶、，備能手機(jī)終端

12.2億23.3億

占網(wǎng)民總量九成以上是

82.2%Android/iOS

2014-2018年全國(guó)承動(dòng)用戶規(guī)模2014-2018年中國(guó)移動(dòng)互聯(lián)網(wǎng)市場(chǎng)規(guī)模

10-^9—10.0%8000014000%

8

130.001)

8100飛

6).00*

三節(jié)13437.741.00%

2

2)00/

0r10.00*OOOH

2014年2015年2016年2017年2018年201d年

■移動(dòng)用戶規(guī)模.億-?-結(jié)長(zhǎng)率X■營(yíng)業(yè)規(guī)模：億元一■-環(huán)比名長(zhǎng)率9

移動(dòng)APP高速增長(zhǎng)

移動(dòng)應(yīng)用數(shù)量統(tǒng)計(jì)

450415

400

350

280

300

250

182

200

150

100

50

0

國(guó)內(nèi)市場(chǎng)蘋(píng)果商店谷歌商店

截至2018年5月，我國(guó)本土第三方應(yīng)用商店安卓移動(dòng)應(yīng)用累計(jì)數(shù)量達(dá)到

款，蘋(píng)果商店移動(dòng)應(yīng)用累計(jì)數(shù)量約款，而官方尚未進(jìn)入我

國(guó)市場(chǎng)的谷歌商店移動(dòng)應(yīng)用累計(jì)數(shù)量約款。

3

APP分發(fā)渠道百花齊放

全國(guó)渠道市場(chǎng)共有家，北上廣占比

手機(jī)系統(tǒng)漏洞依然嚴(yán)峻

iOS與Android漏洞數(shù)量對(duì)比

20095

842

■20101

■20119

■20128

20137

201413

2015125

■2016523

5■2017842

2018453

移動(dòng)APP安全岌岌可危

據(jù)通付盾移動(dòng)安全監(jiān)測(cè)平臺(tái)數(shù)據(jù)顯示款A(yù)PP存在已知高危安全漏洞，移動(dòng)應(yīng)用高危漏洞正在

明顯增多，高危漏洞容易被黑客攻擊利用，造成、、等安全風(fēng)險(xiǎn)。

?未痔除有風(fēng)險(xiǎn)的webi系統(tǒng)電藏接口27.89%

?WebVlew遠(yuǎn)程代碼執(zhí)行安全18.33%

?Webi組件忽格SSL證書(shū)驗(yàn)證幽諛漏涮15.93%

?固定柒”監(jiān)聽(tīng)風(fēng)險(xiǎn)15.3刑

?logid錄安全6.M*

，SgrEPreferencc抓**通安全5.08%

,SharedPreferencci；：—安登4.00%

?SSL中間人攻擊安仝1.64%

?0ebvgft￡il.2Mi

?其他4.45%

?高危漏洞?中危漏洞?低危渦河

圖5二季度高電應(yīng)用漏洌等級(jí)分布圖6二季度高危反川漏洞臭型分布

移動(dòng)APP建設(shè)單位、運(yùn)營(yíng)單位應(yīng)當(dāng)

6

國(guó)外移動(dòng)APP安全情況

的APP沒(méi)能通過(guò)基線安全測(cè)試,的APP存在4個(gè)以上安全漏洞。

78%

57%BrokenTrustManogerforSSL

48%ApplicationLogs

44%BrokenhostnameverifierforSSL

44%InsufficientTransportLayerProtection

TOP5THREATSGLOBALLYDETECTED

數(shù)據(jù)來(lái)源Appknox：檢測(cè)樣本來(lái)自美國(guó)、英國(guó)、澳大利亞、新加坡、印度TOP500電子商務(wù)類APP

7

移動(dòng)互聯(lián)網(wǎng)黑產(chǎn)肆虐

2014—2017年，手機(jī)木馬病毒感染用戶及人均損失惡意軟件多種傳播渠道

6

5.019.24%應(yīng)用市場(chǎng)

5

411%22.51%軟件捆綁

3.08

手機(jī)資源站

31.961.88

21.75手機(jī)論壇

11.2S%

10.947

0.55717.34%網(wǎng)盤(pán)傳播

00.207

12.37%

2014201520162017二維碼

病毒感染用戶數(shù)（億）黑產(chǎn)人均損失（萬(wàn)元）16.29%ROM內(nèi)置

手機(jī)惡意軟件成熟,安全不佳。

數(shù)據(jù)泄漏屢見(jiàn)不鮮

,2萬(wàn)+用戶遭殃

FACEBOO

加拿

Facebook再曝?cái)?shù)據(jù)丑聞：航旅縱橫APP泄露航班乘客個(gè)人隱私信息

國(guó)家電網(wǎng)APP出現(xiàn)數(shù)據(jù)泄生涉及用戶已超千萬(wàn)

12306數(shù)據(jù)泄露原畝曝光：手機(jī)APP漏洞導(dǎo)致“撞

庫(kù)“11

T-Mobilc遭遇數(shù)據(jù)泄露，約200萬(wàn)用戶受影響J數(shù)千款iOS/Android應(yīng)用泄露了U3GB數(shù)據(jù)

第二方SDK導(dǎo)致數(shù)前APP存在泄叫整墨翦后誓霜篇連鎖酒店泄漏5億條開(kāi)房信息

…世紀(jì)佳緣官方APP存在SQL注入，550W+用戶數(shù)據(jù)被泄露

數(shù)據(jù)泄漏黑產(chǎn)

標(biāo)題內(nèi)容創(chuàng)建時(shí)間

12W炒股用戶數(shù)據(jù).滬A.深A(yù)-剛?cè)胧值牡?.有12W戶2.信息格式用戶姓名+聯(lián)系方式+資金賬戶號(hào)+滬A證券號(hào)+深A(yù)證券號(hào)+三方存管銀行歸屈3.需要的買.2018-10-31

自劭發(fā)貨耕的很清楚了易復(fù)制貨源.恕不退款！有問(wèn)題及時(shí)溝通，咨詢！03:46:00

清華總裁班通訊錄+清華21期1.清華總裁班一個(gè)文檔有兩個(gè)表格,一個(gè)表格有1600人左右,一共3000+人清華總裁班開(kāi)餐廳破產(chǎn).2018-10-31

MBA通訊錄一自動(dòng)發(fā)貨03:21:00

獨(dú)家-華為內(nèi)部通訊錄-自動(dòng)發(fā)信息格式是英文名-中文名-所在團(tuán)隊(duì)-座機(jī)-手機(jī)-郵箱-傳真等等需要的掃.有問(wèn)題及時(shí)咨詢！易復(fù)制資源,恕不退貨！2018-10-31

貨02:49:00

各個(gè)城市的鳳樓.一次給一個(gè)購(gòu)買后私信我需要哪個(gè)城市很多為親測(cè)有效0.0005一個(gè)城市的很全一天內(nèi)回豆！2018-10-31

城市的基本包含當(dāng)?shù)爻鞘?1:26:00

機(jī)特工備份同步支持所有安卓我們目前能做到的功能有：手機(jī)定位（手機(jī)經(jīng)緯度、網(wǎng)絡(luò)定位）短信、電話記錄、電話錄音、qq、微信聊天記錄、修時(shí)錄制屏幕、2018-10-30

機(jī)器隨時(shí)隨地前置后置拍照、隨時(shí)錄音功能、圖標(biāo)隱藏。下面是操作圖。以上功能只需要拿到對(duì)方前提下才能實(shí)現(xiàn)、特工私家偵探必23:12:00

備、發(fā)現(xiàn)老公老婆婚外戀無(wú)法取證此款軟件可以幫助到你們。Btc:0.07

自動(dòng)發(fā)貨2元中彩網(wǎng)1.5萬(wàn)數(shù)出售彩累一手?jǐn)?shù)據(jù)剛剛出庫(kù)的，網(wǎng)站是2元購(gòu)彩網(wǎng)的數(shù)據(jù),包含用戶名.姓名MD5密碼，郵箱地址,部分有地址，出款銀行,銀行2018-10-30

據(jù)10.30剛剛脫褲賬號(hào)以及身份證號(hào)碼,數(shù)據(jù)總共1.5萬(wàn)左右,整理到EXCEL格式如下,一張實(shí)前面,一張實(shí)后面的20:17:00

出售彩票數(shù)據(jù)1C.30剛剛出庫(kù)出售彩票數(shù)據(jù)10.30剛剛出庫(kù)的,包含用戶名.姓名MD5密碼.郵箱地址，部分有地址.出款銀行,銀行賬號(hào)以及身份證號(hào)碼，先2018-10-30

的到先得18:07:00

社會(huì)調(diào)查網(wǎng)站5.2W用戶資料社會(huì)調(diào)查網(wǎng)站5.8W用戶資料用戶名密碼郵箱手機(jī)號(hào)2018-10-30

17:36:00

出一100W條左右上海機(jī)關(guān)單出一100W條上海機(jī)關(guān)單位人員信息,這是第一部分第二部分也請(qǐng)?jiān)跀?shù)據(jù)專區(qū)找.那一份80W條左右虛擬不可逆資源，拍前考慮清2018-10-30

位人員信息楚是否需要，出鏈接失效（可回信補(bǔ)鏈接）外，概不退款拍下自動(dòng)顯示下載地址17:19:00

移動(dòng)互聯(lián)網(wǎng)安全趨勢(shì)

形勢(shì)嚴(yán)峻,不法分子開(kāi)始利用移動(dòng)移動(dòng)應(yīng)用重功能，輕安

山寨應(yīng)用混淆視聽(tīng)，嚴(yán)應(yīng)用從事、全，導(dǎo)致頻發(fā),

重侵害廣大手機(jī)網(wǎng)民日等違防護(hù)能力弱，APP成為

常生活。法犯罪活動(dòng)。數(shù)據(jù)泄露新主體。

11

移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)

目錄移動(dòng)安全竊密場(chǎng)景演示>

ContentsJ

移動(dòng)安全竊密場(chǎng)景分析

智能r?機(jī)安全區(qū)域服務(wù)器安全區(qū)域

5.逆向破解

惡苣攻擊人員6二.次打包

7山.寨仿冒

攻擊1.中由人竊密

4.惡意軟件藕智能手機(jī)攻擊攻擊

應(yīng)用市

攻擊

文件APP

3G/4G/Wi-Fi網(wǎng)絡(luò)上的惡Web服務(wù)

GJ一I被動(dòng)攻擊意攻擊人員

攻Ji

粗心的用戶USB所有用戶信

攻擊adbF機(jī)上的息

文件

SD卡debug惡意用戶

3.APP3..調(diào)試注入

13

竊密場(chǎng)景一：網(wǎng)絡(luò)中間人竊密

惡意人員可以通過(guò)網(wǎng)絡(luò)（局域網(wǎng)或Wi-Fi）來(lái)嗅探（訪問(wèn)）APP與服務(wù)器之間

通信的任何信息（敏感數(shù)據(jù)），或者試圖修改信息（數(shù)據(jù)操作）。

竊密演示一：中間人竊密

手機(jī)APP程序使用賬號(hào)密

碼到服務(wù)器驗(yàn)證，本視頻利用BurpSuite

抓包。賬號(hào)密碼的丟失會(huì)

導(dǎo)致用戶個(gè)人信息泄露，甚至可能造成

財(cái)產(chǎn)損失。

15

竊密場(chǎng)景二：惡意軟件竊密

智能手機(jī)用戶可以免費(fèi)下載APP應(yīng)用，有時(shí)也會(huì)錯(cuò)誤地安裝惡意軟件。惡意軟

件有可能會(huì)利用程序間通信功能或程序內(nèi)部的漏洞，來(lái)實(shí)現(xiàn)竊密目的。

16

竊密演示二：界面劫持

*ServingFlaskappMserverM(lazyloading)

*Environment:production

UseaproductionWSGIserverinstead.

*Debugaode:on

*Runningon:5000/(PressCTRL*Ctoquit)

*Restartingwithstat

?Debuggerisactive!

*DebuggerPIN:676-924-156

D

通常惡意APP會(huì)捆綁官方APP,被打包下載，并靜默

安裝到手機(jī)。惡意軟件，并在

用戶打開(kāi)官方APP時(shí)，。當(dāng)用戶在被覆蓋

的頁(yè)面輸入個(gè)人信息時(shí)，惡意APPo

竊密場(chǎng)景三：APP漏洞利用

如果APP應(yīng)用存在文件處理功能上的漏洞，惡意人員可以使用惡意文件來(lái)利用

它并訪問(wèn)應(yīng)用的敏感信息，一旦被打開(kāi)，它將利用應(yīng)用的漏洞產(chǎn)生嚴(yán)重破壞。

18

“II中國(guó)移就4G17：25

ZipperDown演示視頻匕

竊密演示三：ZipperDown漏洞a微博

漏洞原理：

第三方zip庫(kù)在解壓zip文件過(guò)程中

,從而產(chǎn)生了

目錄穿越漏洞，導(dǎo)致iOS應(yīng)用

,并且使用ziparchive庫(kù)解壓，利用漏洞可

以做到appcontainer目錄下的任意文件覆蓋，

造成、的風(fēng)險(xiǎn)。

HM

按季度訂閱微博會(huì)員￥30.00

用于微博

6星38項(xiàng)

微博會(huì)員守權(quán)

19

當(dāng)

I|00010119或尤

竊密場(chǎng)景四：調(diào)試注入

惡意人員利用手機(jī)終端的ADB調(diào)試功能可以分析APP應(yīng)用，并獲得應(yīng)用信息或功能的

訪問(wèn)權(quán)限。我們需要注意合法手機(jī)用戶也可以惡意地竊取應(yīng)用里的敏感信息。

20

竊密演示四：APP注入

Is通過(guò)逆向分析等方式對(duì)該APP進(jìn)行破解，獲取該APP的

關(guān)鍵實(shí)現(xiàn)邏輯，找到輸入卡號(hào)和密碼等關(guān)鍵函數(shù)的調(diào)用位

置；

2、‘用Xposed等框架進(jìn)行惡意代碼注入，會(huì)在用戶輸入卡

號(hào)和密碼時(shí)進(jìn)行劫持竊??；

3、將獲取到的用戶名和密碼發(fā)送到黑客服務(wù)器上。

Kfevtj*elaMMII*

竊密場(chǎng)景五：APP逆向破解

惡意人員通過(guò)Androidkillcr、JEB、Jadx等逆向工具進(jìn)行反編譯后查看源代碼，通過(guò)一定

的特征追蹤到程序關(guān)鍵處，對(duì)關(guān)鍵處進(jìn)行分析或是爆破以達(dá)到破解的目的。

22

竊密演示五：APP破解&用戶信息遍歷

BurpHrwd<rMp?ate?Help

|IProxy]Sp"jScwe.]KrvdsjR-Bjjeoueztf|D?Mr；￡cmp.ar；Exnwder；Presetopoom[皿歲o(wj1

|—??《,■:MTT6—>\WvbUfI-ryI0ft.t]

Oopkarc?0<?"Acoon::團(tuán)

RAWFaramt9M?，，Ht?

0

1、使用任意用戶號(hào)碼嘗試登陸APP,提示密碼錯(cuò)誤，更改

手機(jī)號(hào)后提示未注冊(cè)；?

2、通過(guò)逆向分析獲取登陸功能的實(shí)現(xiàn)邏輯及關(guān)鍵密鑰；

3、根據(jù)逆向分析結(jié)果編寫(xiě)自動(dòng)化腳本，實(shí)現(xiàn)對(duì)該APP用戶◎

集的遍歷，從而獲取注冊(cè)該平臺(tái)的用戶賬號(hào)信息。a

獲取用戶賬號(hào)信息后，可進(jìn)一步通過(guò)暴力破解得到用

<1

戶密碼等關(guān)鍵信息，從而劫持用戶數(shù)據(jù)，甚至竊取用戶錢

包、銀行卡信息等，造成用戶的財(cái)產(chǎn)損失，同時(shí)造成企業(yè)O

商業(yè)機(jī)密泄露，影響企業(yè)聲譽(yù)和資產(chǎn)安全。□

竊密場(chǎng)景六：APP反編譯和二次打包

是將打包生成的APK文

件裝換成為匯編文件，并對(duì)其中

的配置文件進(jìn)行解碼的過(guò)程。

Android系統(tǒng)上常使用的工具

apktooL

是指將反編譯后的

APK文件,進(jìn)行篡改并重打包,

重新生成APK文件，然后將生成

的APK文件進(jìn)行簽名安裝。

24

竊密演示六：二次打包

M2/UM11>UIMKA

5■田oclbetJOOjH/231<B

2917007MIOKB

?\WM>612APKM

K??9^P^M17/7/11：M>Wotfow**?

UMAabUJarf?8U

WiArypkBMM1/SHDK8M

J.wvfc*?*5O9p?^P€M?tt2KB

.tHm

G?MA0

jR?H

.工作(GO

j—g)

“M??MS

二?和

二次打包植入惡意代碼后，APP的性能、用戶體驗(yàn)和外

觀都跟原版AP〉一樣，但它悄悄運(yùn)行著其他惡意程序，

輕者消耗流量，重則惡意扣費(fèi)、偷窺隱私等。

8個(gè)rm

叩依。。1反編譯apk文件sign叩k為修改好的apk文件簽名

竊密場(chǎng)景七：山寨仿冒

是指未經(jīng)版權(quán)所有人同應(yīng)用名稱版本號(hào)所屬市場(chǎng)頁(yè)圓地址

意或授權(quán)的情況下，通過(guò)盜用正版手機(jī)海寶J.0安貝市場(chǎng)/app/info/appid/11307

應(yīng)用的、、仿冒知名手機(jī)海寶J.0安卓之家http:〃/xlQi/2504076.html

、盜用正版等方式對(duì)手機(jī)淘寶J.0安粉磯釣http:〃wwwappfuncn/app/info/aD0d/：l=3O7

正版應(yīng)用進(jìn)行仿冒，再上架到移動(dòng)項(xiàng)目盜版應(yīng)用相關(guān)信息正版應(yīng)用相關(guān)信息

應(yīng)由市場(chǎng)的移動(dòng)應(yīng)用程序。

MD5值c923169e14fecf89b055efff4aab753d

圖標(biāo)囂）

名字手機(jī)淘寶手機(jī)淘寶

大小0.93MB38.33MB

版本3.05.5.0

包名com.zlsjtb.nodelcom.taobao.taobao

CN=taobao&OU=taobao&

簽名證書(shū)CN=im&OU=ie&O=ing&L=ot&ST=wn&

0=taobao&L=hangzhou&

信息C=cn

ST=zhejiang&C=CN

26

:。:▼/13:02

竊密演示七：仿冒微信

通過(guò)仿冒正版微信的、、

等，騙取用戶

微信。

微信

27

匕qa1

移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)

目錄移動(dòng)安全竊密場(chǎng)景演示>

Contents__________________________>

移動(dòng)安全的思考與建議-----

移動(dòng)APP安全威脅總結(jié)

APP程序安全運(yùn)行環(huán)境安全網(wǎng)絡(luò)通信安全服務(wù)端API安全

?身份認(rèn)證繞過(guò)?Root環(huán)境/模擬器?HTTP明文傳輸?暴力破解密碼

?二次打包植入代碼?已安裝xposed、cydia?HTTFS中間人劫持?Session重放

等攻擊插件框架

（病毒、廣告）?SQL注入

?手機(jī)存在病毒/木馬

?動(dòng)態(tài)調(diào)試修改內(nèi)存數(shù)?拒絕服務(wù)

據(jù)

?界面劫持釣魚(yú)

29

移動(dòng)APP安全防御技術(shù)

終端威脅感知

1運(yùn)行環(huán)境監(jiān)測(cè)WEB防火墻（WAF）

2惡意攻擊監(jiān)測(cè)自適應(yīng)保護(hù)（RASP）

智能手機(jī)安全區(qū)域3程序崩潰監(jiān)測(cè)