移動安全技術及竊密防護202401 移動互聯網安全形勢2 移動安全竊密場景演示3 移動安全的思考與建議用12.2億戶占網民總量82.2%操作系23.3億統九成以上是Android/iOS用12.2億戶占網民總量82.2%操作系23.3億統九成以上是Android/iOS用途游戲社交電子商務移動政務2014-2018年全國移動用戶規模102014-2018年全國移動用戶規模8.910.00%87.38.00%66.00%44.00%22.00%00.00%2014年 2015年 2016年 2017年 2018年移動用戶規模：億增長率%800002014-2018年中國移動互聯網市場規模765476054260000 467204000030794.6140.00%120.00%100.00%80.00%60.00%2000013437.7 02014年 2015年 2016年 2017年 40.00%20.00%0.00%2018年營業規模：億元環比增長率%2移動應用數量統計450400350300250200移動應用數量統計450400350300250200150100500415國內市場蘋果商店谷歌商店280182截至2018年5月，我國本土第三方應用商店安卓移動應用累計數量達到截至2018年5月，我國本土第三方應用商店安卓移動應用累計數量達到415萬款，蘋果商店移動應用累計數量約182萬款，而官方尚未進入我國市場的谷歌商店移動應用累計數量約280萬款。3APP分發渠道百花齊放全國渠道市場共有434家，北上廣占比47.93%。GooglePlay AppStore國外只有有2家商商

用市場下載站、論壇

70 6360 575040 29313020 1517186799101110 1112222345554手機系統漏洞依然嚴峻iOSAndroid漏洞數量對比VSiOS歷年漏洞數量統計 Android歷年漏洞數量統計iOS漏洞確實比Android少很多，但并不一定就是安全的！！！5移動APP安全岌岌可危據通付盾移動安全監測平臺數據顯示88,0204款APP存在已知高危安全漏洞，移動應用高危漏洞正在明顯增多，高危漏洞容易被黑客攻擊利用，造成交易劫持、信息篡改、數據泄漏等安全風險。移動APP建設單位、運營單位應當高度重視，提前規避安全風險6國外移動APP安全情況95%的APP沒能通過基線安全測試，68%的APP存在4個以上安全漏洞。數據來源Appknox：檢測樣本來自美國、英國、澳大利亞、新加坡、印度TOP500電子商務類APP7移動互聯網黑產肆虐2014-2017年，手機木馬病毒感染用戶及人均損失 惡意軟件多種傳播渠道65.019.24%應用市場543.0811%22.51%軟件捆綁31.961.88手機資源站21.75手機論壇100.2070.5570.94711.25%17.34%網盤傳播2014 2015 2016 2017病毒感染用戶數（億） 黑產人均損失（萬元）12.37%16.29%二維碼ROM內置手機惡意軟件黑色產業鏈成熟，外部環境安全不佳。8數據泄漏屢見不鮮Facebook再曝數據丑聞：1.2億用戶數據面臨泄露風險 航旅縱橫APP泄露航班乘客個人隱私信息國家電網APP出現數據泄露涉及用戶已超千萬12306數據泄露原因曝光：手機APP漏洞導致“撞庫”T-Mobile遭遇數據泄露，約200萬用戶受影響 數千款iOS/Android應用泄露了113GB數據HIV患者約會App泄漏5千用戶數據世紀佳緣官方APP存在SQL注入，550W+用戶數據被泄露越是不知道，影響越嚴重！9數據泄漏屢見不鮮10數據泄漏黑產數據泄漏屢見不鮮10移動互聯網安全趨勢移動惡意程序山寨應用混淆視聽，嚴重侵害廣大手機網民日常生活。

不法分子開始利用移動應用從事網絡色情、網絡賭博、販毒吸毒等違法犯罪活動。

移動應用重功能，輕安全，導致安全漏洞防護能力弱，APP成為數據泄露新主體。111 移動互聯網安全形勢2 移動安全竊密場景演示3 移動安全的思考與建議移動安全竊密場景分析逆向破解逆向破解二次打包山寨仿冒1.中間人竊密4.惡意軟件竊密3.APP漏洞利用2.調試注入典型的移動APP系統&網絡環境13典型的移動APP系統&網絡環境竊密場景一：網絡中間人竊密惡意人員可以通過網絡（局域網或Wi-Fi）來嗅探（訪問）APP與服務器之間通信的任何信息（敏感數據），或者試圖修改信息（數據操作）。14竊密演示一：中間人竊密手機APP程序使用HTTP明文傳輸賬號密碼到服務器驗證，本視頻利用BurpSuite抓包截取賬號密碼。賬號密碼的丟失會導致用戶個人信息泄露，甚至可能造成財產損失。15竊密場景二：惡意軟件竊密智能手機用戶可以免費下載APP應用，有時也會錯誤地安裝惡意軟件。惡意軟件有可能會利用程序間通信功能或程序內部的漏洞，來實現竊密目的。16竊密演示二：界面劫持通常惡意APP會捆綁官方APP，被打包下載，并靜默安裝到手機。惡意軟件仿制官方APP登錄頁面，并在用戶打開官方APP時，覆蓋其頁面。當用戶在被覆蓋的頁面輸入個人信息時，惡意APP竊取到用戶數據。17竊密場景三：APP漏洞利用如果APP應用存在文件處理功能上的漏洞，惡意人員可以使用惡意文件來利用它并訪問應用的敏感信息，一旦被打開，它將利用應用的漏洞產生嚴重破壞。18竊密演示三：ZipperDown漏洞漏洞原理：第三方zip庫在解壓zip文件過程中沒有考慮文件名中帶有”../../”這樣的情況，從而產生了目錄穿越漏洞，導致iOS應用下載了惡意的zip文件，并且使用ziparchive庫解壓，利用漏洞可以做到appcontainer目錄下的任意文件覆蓋，造成應用崩潰、任意代碼執行的風險。19竊密場景四：調試注入惡意人員利用手機終端的ADB調試功能可以分析APP應用，并獲得應用信息或功能的訪問權限。我們需要注意合法手機用戶也可以惡意地竊取應用里的敏感信息。2021竊密演示四：APP注入 211、通過逆向分析等方式對該APP進行破解，獲取該APP的關鍵實現邏輯，找到1、通過逆向分析等方式對該APP進行破解，獲取該APP的關鍵實現邏輯，找到輸入卡號和密碼等關鍵函數的調用位置；2、用Xposed等框架進行惡意代碼注入，會在用戶輸入卡號和密碼時進行劫持竊取；3、將獲取到的用戶名和密碼發送到黑客服務器上。竊密場景五：APP逆向破解惡意人員通過Androidkiller、JEB、Jadx等逆向工具進行反編譯后查看源代碼，通過一定的特征追蹤到程序關鍵處，對關鍵處進行分析或是爆破以達到破解的目的。22竊密演示五：APP破解&用戶信息遍歷1、使用任意用戶號碼嘗試登陸APP，提示密碼錯誤，更改手機號后提示未注冊；2、通過逆向分析獲取登陸功能的實現邏輯及關鍵密鑰；3、根據逆向分析結果編寫自動化腳本，實現對該APP用戶集的遍歷，從而獲取注冊該平臺的用戶賬號信息。獲取用戶賬號信息后，可進一步通過暴力破解得到用戶密碼等關鍵信息，從而劫持用戶數據，甚至竊取用戶錢包、銀行卡信息等，造成用戶的財產損失，同時造成企業商業機密泄露，影響企業聲譽和資產安全。23竊密場景六：APP反編譯和二次打包反編譯是將打包生成的APK文件裝換成為匯編文件，并對其中的配置文件進行解碼的過程。Android系統上常使用的工具apktool。反編譯是將打包生成的APK文件裝換成為匯編文件，并對其中的配置文件進行解碼的過程。Android系統上常使用的工具apktool。二次打包是指將反編譯后的APK文件，進行篡改并重打包，重新生成APK文件，然后將生成的APK文件進行簽名安裝。24竊密演示六：二次打包二次打包植入惡意代碼后，APP的性能、用戶體驗和外觀都跟原版APP一樣，但它二次打包植入惡意代碼后，APP的性能、用戶體驗和外觀都跟原版APP一樣，但它悄悄運行著其他惡意程序，輕者消耗流量，重則惡意扣費、偷窺隱私等。25竊密場景七：山寨仿冒山寨仿冒是指未經版權所有人同意或授權的情況下，通過盜用正版應用的山寨仿冒是指未經版權所有人同意或授權的情況下，通過盜用正版應用的圖標、名稱、仿冒知名軟件功能、盜用正版軟件界面等方式對正版應用進行仿冒，再上架到移動應用市場的移動應用程序。應用名稱版本號所屬市場頁面地址手機淘寶3.0安貝市場/app/info/appid/11307手機淘寶3.0安卓之家/xtgj/2504076.html手機淘寶3.0安粉磯釣/app/info/appid/1130726竊密演示七：仿冒微信通過仿冒正版微信的圖標、名稱、軟件運行及登錄界面等，騙取用戶微信賬號及密碼。271 移動互聯網安全形勢2 移動安全竊密場景演示3 移動安全的思考與建議移動APP安全威脅總結身份認證繞過二次打包植入代碼（病毒、廣告）身份認證繞過二次打包植入代碼（病毒、廣告）據界面劫持釣魚……APP程序安全Root環境/模擬器已安裝xposed、等攻擊插件框架/木馬……運行環境安全HTTP明文傳輸HTTPS中間人劫持……網絡通信安全暴力破解密碼Session重放SQL注入拒絕服務……服務端API安全29移動APP安全防御技術終端威脅感知① ② ③

WEB防火墻（WAF）自適應保護（RASP）APP安全加固① ② ③ ……

通信協議加密通信數據加密典型的移動APP系統&網絡環境

業務安全① ② ③ ④ ……敏感數據加密數據安全保護本地存儲加密① ②

網絡屏蔽&混淆（防火墻、蜜罐、API鑒權等）30甲方產品服務甲方產品服務合規持續改進乙方全流程保障合規監管方31甲方：做好全生命周期安全-從源頭抓起業務梳理需求分析業務梳理需求分析架構設計SDL規范源碼審計安全測試安全設計安全開發安全運營安全發布渠道監測威脅感知應急響應安全加固安全組件版權保護32業界最佳實踐-DevSecOps開發安全運營一體化：全生命周期、全流程、持續改進33乙方：提供全流程安全保障-產品與服務安全與業務融合、一站式產品服務設計咨詢開發咨詢上線保護運行監測運營保障業務梳理設計咨詢開發咨詢上線保護運行監測運營保障業務梳理安全需求威脅建模安全規劃規范安全培訓編碼規范源碼審計滲透測試安全加固安全組件上線評估環境監測攻擊監測崩潰監測行為分析漏洞監測盜版監測安全預警應急響應34監管：采取全方位監測布控-技管并