2024移動安全技術及竊密防護_第1頁
2024移動安全技術及竊密防護_第2頁
2024移動安全技術及竊密防護_第3頁
2024移動安全技術及竊密防護_第4頁
2024移動安全技術及竊密防護_第5頁
已閱讀5頁,還剩33頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

移動安全技術及竊密防護

2024

0

移動互聯網安全形勢

目錄移動安全竊密場景演示>

Contents

移動安全的思考與建議

移動互聯網發展現狀

操作、

系統7

V乂機上網用戶、,備能手機終端

12.2億23.3億

占網民總量九成以上是

82.2%Android/iOS

2014-2018年全國承動用戶規模2014-2018年中國移動互聯網市場規模

10-^9—10.0%8000014000%

8

130.001)

8100飛

6).00*

三節13437.741.00%

2

2)00/

0r10.00*OOOH

2014年2015年2016年2017年2018年201d年

■移動用戶規模.億-?-結長率X■營業規模:億元一■-環比名長率9

移動APP高速增長

移動應用數量統計

450415

400

350

280

300

250

182

200

150

100

50

0

國內市場蘋果商店谷歌商店

截至2018年5月,我國本土第三方應用商店安卓移動應用累計數量達到

款,蘋果商店移動應用累計數量約款,而官方尚未進入我

國市場的谷歌商店移動應用累計數量約款。

3

APP分發渠道百花齊放

全國渠道市場共有家,北上廣占比

手機系統漏洞依然嚴峻

iOS與Android漏洞數量對比

20095

842

■20101

■20119

■20128

20137

201413

2015125

■2016523

5■2017842

2018453

移動APP安全岌岌可危

據通付盾移動安全監測平臺數據顯示款APP存在已知高危安全漏洞,移動應用高危漏洞正在

明顯增多,高危漏洞容易被黑客攻擊利用,造成、、等安全風險。

?未痔除有風險的webi系統電藏接口27.89%

?WebVlew遠程代碼執行安全18.33%

?Webi組件忽格SSL證書驗證幽諛漏涮15.93%

?固定柒”監聽風險15.3刑

?logid錄安全6.M*

,SgrEPreferencc抓**通安全5.08%

,SharedPreferencci;:—安登4.00%

?SSL中間人攻擊安仝1.64%

?0ebvgft£il.2Mi

?其他4.45%

?高危漏洞?中危漏洞?低危渦河

圖5二季度高電應用漏洌等級分布圖6二季度高危反川漏洞臭型分布

移動APP建設單位、運營單位應當

6

國外移動APP安全情況

的APP沒能通過基線安全測試,的APP存在4個以上安全漏洞。

78%

57%BrokenTrustManogerforSSL

48%ApplicationLogs

44%BrokenhostnameverifierforSSL

44%InsufficientTransportLayerProtection

TOP5THREATSGLOBALLYDETECTED

數據來源Appknox:檢測樣本來自美國、英國、澳大利亞、新加坡、印度TOP500電子商務類APP

7

移動互聯網黑產肆虐

2014—2017年,手機木馬病毒感染用戶及人均損失惡意軟件多種傳播渠道

6

5.019.24%應用市場

5

411%22.51%軟件捆綁

3.08

手機資源站

31.961.88

21.75手機論壇

11.2S%

10.947

0.55717.34%網盤傳播

00.207

12.37%

2014201520162017二維碼

病毒感染用戶數(億)黑產人均損失(萬元)16.29%ROM內置

手機惡意軟件成熟,安全不佳。

數據泄漏屢見不鮮

,2萬+用戶遭殃

FACEBOO

加拿

Facebook再曝數據丑聞:航旅縱橫APP泄露航班乘客個人隱私信息

國家電網APP出現數據泄生涉及用戶已超千萬

12306數據泄露原畝曝光:手機APP漏洞導致“撞

庫“11

T-Mobilc遭遇數據泄露,約200萬用戶受影響J數千款iOS/Android應用泄露了U3GB數據

第二方SDK導致數前APP存在泄叫整墨翦后誓霜篇連鎖酒店泄漏5億條開房信息

…世紀佳緣官方APP存在SQL注入,550W+用戶數據被泄露

數據泄漏黑產

標題內容創建時間

12W炒股用戶數據.滬A.深A-剛入手的的1.有12W戶2.信息格式用戶姓名+聯系方式+資金賬戶號+滬A證券號+深A證券號+三方存管銀行歸屈3.需要的買.2018-10-31

自劭發貨耕的很清楚了易復制貨源.恕不退款!有問題及時溝通,咨詢!03:46:00

清華總裁班通訊錄+清華21期1.清華總裁班一個文檔有兩個表格,一個表格有1600人左右,一共3000+人清華總裁班開餐廳破產.2018-10-31

MBA通訊錄一自動發貨03:21:00

獨家-華為內部通訊錄-自動發信息格式是英文名-中文名-所在團隊-座機-手機-郵箱-傳真等等需要的掃.有問題及時咨詢!易復制資源,恕不退貨!2018-10-31

貨02:49:00

各個城市的鳳樓.一次給一個購買后私信我需要哪個城市很多為親測有效0.0005一個城市的很全一天內回豆!2018-10-31

城市的基本包含當地城市01:26:00

機特工備份同步支持所有安卓我們目前能做到的功能有:手機定位(手機經緯度、網絡定位)短信、電話記錄、電話錄音、qq、微信聊天記錄、修時錄制屏幕、2018-10-30

機器隨時隨地前置后置拍照、隨時錄音功能、圖標隱藏。下面是操作圖。以上功能只需要拿到對方前提下才能實現、特工私家偵探必23:12:00

備、發現老公老婆婚外戀無法取證此款軟件可以幫助到你們。Btc:0.07

自動發貨2元中彩網1.5萬數出售彩累一手數據剛剛出庫的,網站是2元購彩網的數據,包含用戶名.姓名MD5密碼,郵箱地址,部分有地址,出款銀行,銀行2018-10-30

據10.30剛剛脫褲賬號以及身份證號碼,數據總共1.5萬左右,整理到EXCEL格式如下,一張實前面,一張實后面的20:17:00

出售彩票數據1C.30剛剛出庫出售彩票數據10.30剛剛出庫的,包含用戶名.姓名MD5密碼.郵箱地址,部分有地址.出款銀行,銀行賬號以及身份證號碼,先2018-10-30

的到先得18:07:00

社會調查網站5.2W用戶資料社會調查網站5.8W用戶資料用戶名密碼郵箱手機號2018-10-30

17:36:00

出一100W條左右上海機關單出一100W條上海機關單位人員信息,這是第一部分第二部分也請在數據專區找.那一份80W條左右虛擬不可逆資源,拍前考慮清2018-10-30

位人員信息楚是否需要,出鏈接失效(可回信補鏈接)外,概不退款拍下自動顯示下載地址17:19:00

移動互聯網安全趨勢

形勢嚴峻,不法分子開始利用移動移動應用重功能,輕安

山寨應用混淆視聽,嚴應用從事、全,導致頻發,

重侵害廣大手機網民日等違防護能力弱,APP成為

常生活。法犯罪活動。數據泄露新主體。

11

移動互聯網安全形勢

目錄移動安全竊密場景演示>

ContentsJ

移動安全竊密場景分析

智能r?機安全區域服務器安全區域

5.逆向破解

惡苣攻擊人員6二.次打包

7山.寨仿冒

攻擊1.中由人竊密

4.惡意軟件藕智能手機攻擊攻擊

應用市

攻擊

文件APP

3G/4G/Wi-Fi網絡上的惡Web服務

GJ一I被動攻擊意攻擊人員

攻Ji

粗心的用戶USB所有用戶信

攻擊adbF機上的息

文件

SD卡debug惡意用戶

3.APP3..調試注入

13

竊密場景一:網絡中間人竊密

惡意人員可以通過網絡(局域網或Wi-Fi)來嗅探(訪問)APP與服務器之間

通信的任何信息(敏感數據),或者試圖修改信息(數據操作)。

竊密演示一:中間人竊密

手機APP程序使用賬號密

碼到服務器驗證,本視頻利用BurpSuite

抓包。賬號密碼的丟失會

導致用戶個人信息泄露,甚至可能造成

財產損失。

15

竊密場景二:惡意軟件竊密

智能手機用戶可以免費下載APP應用,有時也會錯誤地安裝惡意軟件。惡意軟

件有可能會利用程序間通信功能或程序內部的漏洞,來實現竊密目的。

16

竊密演示二:界面劫持

*ServingFlaskappMserverM(lazyloading)

*Environment:production

UseaproductionWSGIserverinstead.

*Debugaode:on

*Runningon:5000/(PressCTRL*Ctoquit)

*Restartingwithstat

?Debuggerisactive!

*DebuggerPIN:676-924-156

D

通常惡意APP會捆綁官方APP,被打包下載,并靜默

安裝到手機。惡意軟件,并在

用戶打開官方APP時,。當用戶在被覆蓋

的頁面輸入個人信息時,惡意APPo

竊密場景三:APP漏洞利用

如果APP應用存在文件處理功能上的漏洞,惡意人員可以使用惡意文件來利用

它并訪問應用的敏感信息,一旦被打開,它將利用應用的漏洞產生嚴重破壞。

18

“II中國移就4G17:25

ZipperDown演示視頻匕

竊密演示三:ZipperDown漏洞a微博

漏洞原理:

第三方zip庫在解壓zip文件過程中

,從而產生了

目錄穿越漏洞,導致iOS應用

,并且使用ziparchive庫解壓,利用漏洞可

以做到appcontainer目錄下的任意文件覆蓋,

造成、的風險。

HM

按季度訂閱微博會員¥30.00

用于微博

6星38項

微博會員守權

19

I|00010119或尤

竊密場景四:調試注入

惡意人員利用手機終端的ADB調試功能可以分析APP應用,并獲得應用信息或功能的

訪問權限。我們需要注意合法手機用戶也可以惡意地竊取應用里的敏感信息。

20

竊密演示四:APP注入

Is通過逆向分析等方式對該APP進行破解,獲取該APP的

關鍵實現邏輯,找到輸入卡號和密碼等關鍵函數的調用位

置;

2、‘用Xposed等框架進行惡意代碼注入,會在用戶輸入卡

號和密碼時進行劫持竊取;

3、將獲取到的用戶名和密碼發送到黑客服務器上。

Kfevtj*elaMMII*

竊密場景五:APP逆向破解

惡意人員通過Androidkillcr、JEB、Jadx等逆向工具進行反編譯后查看源代碼,通過一定

的特征追蹤到程序關鍵處,對關鍵處進行分析或是爆破以達到破解的目的。

22

竊密演示五:APP破解&用戶信息遍歷

BurpHrwd<rMp?ate?Help

|IProxy]Sp"jScwe.]KrvdsjR-Bjjeoueztf|D?Mr;£cmp.ar;Exnwder;Presetopoom[皿歲o(wj1

|—??《,■:MTT6—>\WvbUfI-ryI0ft.t]

Oopkarc?0<?"Acoon::團

RAWFaramt9M?,,Ht?

0

1、使用任意用戶號碼嘗試登陸APP,提示密碼錯誤,更改

手機號后提示未注冊;?

2、通過逆向分析獲取登陸功能的實現邏輯及關鍵密鑰;

3、根據逆向分析結果編寫自動化腳本,實現對該APP用戶◎

集的遍歷,從而獲取注冊該平臺的用戶賬號信息。a

獲取用戶賬號信息后,可進一步通過暴力破解得到用

<1

戶密碼等關鍵信息,從而劫持用戶數據,甚至竊取用戶錢

包、銀行卡信息等,造成用戶的財產損失,同時造成企業O

商業機密泄露,影響企業聲譽和資產安全。□

竊密場景六:APP反編譯和二次打包

是將打包生成的APK文

件裝換成為匯編文件,并對其中

的配置文件進行解碼的過程。

Android系統上常使用的工具

apktooL

是指將反編譯后的

APK文件,進行篡改并重打包,

重新生成APK文件,然后將生成

的APK文件進行簽名安裝。

24

竊密演示六:二次打包

M2/UM11>UIMKA

5■田oclbetJOOjH/231<B

2917007MIOKB

?\WM>612APKM

K??9^P^M17/7/11:M>Wotfow**?

UMAabUJarf?8U

WiArypkBMM1/SHDK8M

J.wvfc*?*5O9p?^P€M?tt2KB

.tHm

G?MA0

jR?H

.工作(GO

j—g)

“M??MS

二?和

二次打包植入惡意代碼后,APP的性能、用戶體驗和外

觀都跟原版AP〉一樣,但它悄悄運行著其他惡意程序,

輕者消耗流量,重則惡意扣費、偷窺隱私等。

8個rm

叩依。。1反編譯apk文件sign叩k為修改好的apk文件簽名

竊密場景七:山寨仿冒

是指未經版權所有人同應用名稱版本號所屬市場頁圓地址

意或授權的情況下,通過盜用正版手機海寶J.0安貝市場/app/info/appid/11307

應用的、、仿冒知名手機海寶J.0安卓之家http:〃/xlQi/2504076.html

、盜用正版等方式對手機淘寶J.0安粉磯釣http:〃wwwappfuncn/app/info/aD0d/:l=3O7

正版應用進行仿冒,再上架到移動項目盜版應用相關信息正版應用相關信息

應由市場的移動應用程序。

MD5值c923169e14fecf89b055efff4aab753d

圖標囂)

名字手機淘寶手機淘寶

大小0.93MB38.33MB

版本3.05.5.0

包名com.zlsjtb.nodelcom.taobao.taobao

CN=taobao&OU=taobao&

簽名證書CN=im&OU=ie&O=ing&L=ot&ST=wn&

0=taobao&L=hangzhou&

信息C=cn

ST=zhejiang&C=CN

26

:。:▼/13:02

竊密演示七:仿冒微信

通過仿冒正版微信的、、

等,騙取用戶

微信。

微信

27

匕qa1

移動互聯網安全形勢

目錄移動安全竊密場景演示>

Contents__________________________>

移動安全的思考與建議-----

移動APP安全威脅總結

APP程序安全運行環境安全網絡通信安全服務端API安全

?身份認證繞過?Root環境/模擬器?HTTP明文傳輸?暴力破解密碼

?二次打包植入代碼?已安裝xposed、cydia?HTTFS中間人劫持?Session重放

等攻擊插件框架

(病毒、廣告)?SQL注入

?手機存在病毒/木馬

?動態調試修改內存數?拒絕服務

?界面劫持釣魚

29

移動APP安全防御技術

終端威脅感知

1運行環境監測WEB防火墻(WAF)

2惡意攻擊監測自適應保護(RASP)

智能手機安全區域3程序崩潰監測

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論