移動安全技術及竊密防護

2024

0

移動互聯網安全形勢

目錄移動安全竊密場景演示>

Contents

移動安全的思考與建議

移動互聯網發展現狀

操作、

系統7

V乂機上網用戶、，備能手機終端

12.2億23.3億

占網民總量九成以上是

82.2%Android/iOS

2014-2018年全國承動用戶規模2014-2018年中國移動互聯網市場規模

10-^9—10.0%8000014000%

8

130.001)

8100飛

6).00*

三節13437.741.00%

2

2)00/

0r10.00*OOOH

2014年2015年2016年2017年2018年201d年

■移動用戶規模.億-?-結長率X■營業規模：億元一■-環比名長率9

移動APP高速增長

移動應用數量統計

450415

400

350

280

300

250

182

200

150

100

50

0

國內市場蘋果商店谷歌商店

截至2018年5月，我國本土第三方應用商店安卓移動應用累計數量達到

款，蘋果商店移動應用累計數量約款，而官方尚未進入我

國市場的谷歌商店移動應用累計數量約款。

3

APP分發渠道百花齊放

全國渠道市場共有家，北上廣占比

手機系統漏洞依然嚴峻

iOS與Android漏洞數量對比

20095

842

■20101

■20119

■20128

20137

201413

2015125

■2016523

5■2017842

2018453

移動APP安全岌岌可危

據通付盾移動安全監測平臺數據顯示款APP存在已知高危安全漏洞，移動應用高危漏洞正在

明顯增多，高危漏洞容易被黑客攻擊利用，造成、、等安全風險。

?未痔除有風險的webi系統電藏接口27.89%

?WebVlew遠程代碼執行安全18.33%

?Webi組件忽格SSL證書驗證幽諛漏涮15.93%

?固定柒”監聽風險15.3刑

?logid錄安全6.M*

，SgrEPreferencc抓**通安全5.08%

,SharedPreferencci；：—安登4.00%

?SSL中間人攻擊安仝1.64%

?0ebvgft￡il.2Mi

?其他4.45%

?高危漏洞?中危漏洞?低危渦河

圖5二季度高電應用漏洌等級分布圖6二季度高危反川漏洞臭型分布

移動APP建設單位、運營單位應當

6

國外移動APP安全情況

的APP沒能通過基線安全測試,的APP存在4個以上安全漏洞。

78%

57%BrokenTrustManogerforSSL

48%ApplicationLogs

44%BrokenhostnameverifierforSSL

44%InsufficientTransportLayerProtection

TOP5THREATSGLOBALLYDETECTED

數據來源Appknox：檢測樣本來自美國、英國、澳大利亞、新加坡、印度TOP500電子商務類APP

7

移動互聯網黑產肆虐

2014—2017年，手機木馬病毒感染用戶及人均損失惡意軟件多種傳播渠道

6

5.019.24%應用市場

5

411%22.51%軟件捆綁

3.08

手機資源站

31.961.88

21.75手機論壇

11.2S%

10.947

0.55717.34%網盤傳播

00.207

12.37%

2014201520162017二維碼

病毒感染用戶數（億）黑產人均損失（萬元）16.29%ROM內置

手機惡意軟件成熟,安全不佳。

數據泄漏屢見不鮮

,2萬+用戶遭殃

FACEBOO

加拿

Facebook再曝數據丑聞：航旅縱橫APP泄露航班乘客個人隱私信息

國家電網APP出現數據泄生涉及用戶已超千萬

12306數據泄露原畝曝光：手機APP漏洞導致“撞

庫“11

T-Mobilc遭遇數據泄露，約200萬用戶受影響J數千款iOS/Android應用泄露了U3GB數據

第二方SDK導致數前APP存在泄叫整墨翦后誓霜篇連鎖酒店泄漏5億條開房信息

…世紀佳緣官方APP存在SQL注入，550W+用戶數據被泄露

數據泄漏黑產

標題內容創建時間

12W炒股用戶數據.滬A.深A-剛入手的的1.有12W戶2.信息格式用戶姓名+聯系方式+資金賬戶號+滬A證券號+深A證券號+三方存管銀行歸屈3.需要的買.2018-10-31

自劭發貨耕的很清楚了易復制貨源.恕不退款！有問題及時溝通，咨詢！03:46:00

清華總裁班通訊錄+清華21期1.清華總裁班一個文檔有兩個表格,一個表格有1600人左右,一共3000+人清華總裁班開餐廳破產.2018-10-31

MBA通訊錄一自動發貨03:21:00

獨家-華為內部通訊錄-自動發信息格式是英文名-中文名-所在團隊-座機-手機-郵箱-傳真等等需要的掃.有問題及時咨詢！易復制資源,恕不退貨！2018-10-31

貨02:49:00

各個城市的鳳樓.一次給一個購買后私信我需要哪個城市很多為親測有效0.0005一個城市的很全一天內回豆！2018-10-31

城市的基本包含當地城市01:26:00

機特工備份同步支持所有安卓我們目前能做到的功能有：手機定位（手機經緯度、網絡定位）短信、電話記錄、電話錄音、qq、微信聊天記錄、修時錄制屏幕、2018-10-30

機器隨時隨地前置后置拍照、隨時錄音功能、圖標隱藏。下面是操作圖。以上功能只需要拿到對方前提下才能實現、特工私家偵探必23:12:00

備、發現老公老婆婚外戀無法取證此款軟件可以幫助到你們。Btc:0.07

自動發貨2元中彩網1.5萬數出售彩累一手數據剛剛出庫的，網站是2元購彩網的數據,包含用戶名.姓名MD5密碼，郵箱地址,部分有地址，出款銀行,銀行2018-10-30

據10.30剛剛脫褲賬號以及身份證號碼,數據總共1.5萬左右,整理到EXCEL格式如下,一張實前面,一張實后面的20:17:00

出售彩票數據1C.30剛剛出庫出售彩票數據10.30剛剛出庫的,包含用戶名.姓名MD5密碼.郵箱地址，部分有地址.出款銀行,銀行賬號以及身份證號碼，先2018-10-30

的到先得18:07:00

社會調查網站5.2W用戶資料社會調查網站5.8W用戶資料用戶名密碼郵箱手機號2018-10-30

17:36:00

出一100W條左右上海機關單出一100W條上海機關單位人員信息,這是第一部分第二部分也請在數據專區找.那一份80W條左右虛擬不可逆資源，拍前考慮清2018-10-30

位人員信息楚是否需要，出鏈接失效（可回信補鏈接）外，概不退款拍下自動顯示下載地址17:19:00

移動互聯網安全趨勢

形勢嚴峻,不法分子開始利用移動移動應用重功能，輕安

山寨應用混淆視聽，嚴應用從事、全，導致頻發,

重侵害廣大手機網民日等違防護能力弱，APP成為

常生活。法犯罪活動。數據泄露新主體。

11

移動互聯網安全形勢

目錄移動安全竊密場景演示>

ContentsJ

移動安全竊密場景分析

智能r?機安全區域服務器安全區域

5.逆向破解

惡苣攻擊人員6二.次打包

7山.寨仿冒

攻擊1.中由人竊密

4.惡意軟件藕智能手機攻擊攻擊

應用市

攻擊

文件APP

3G/4G/Wi-Fi網絡上的惡Web服務

GJ一I被動攻擊意攻擊人員

攻Ji

粗心的用戶USB所有用戶信

攻擊adbF機上的息

文件

SD卡debug惡意用戶

3.APP3..調試注入

13

竊密場景一：網絡中間人竊密

惡意人員可以通過網絡（局域網或Wi-Fi）來嗅探（訪問）APP與服務器之間

通信的任何信息（敏感數據），或者試圖修改信息（數據操作）。

竊密演示一：中間人竊密

手機APP程序使用賬號密

碼到服務器驗證，本視頻利用BurpSuite

抓包。賬號密碼的丟失會

導致用戶個人信息泄露，甚至可能造成

財產損失。

15

竊密場景二：惡意軟件竊密

智能手機用戶可以免費下載APP應用，有時也會錯誤地安裝惡意軟件。惡意軟

件有可能會利用程序間通信功能或程序內部的漏洞，來實現竊密目的。

16

竊密演示二：界面劫持

*ServingFlaskappMserverM(lazyloading)

*Environment:production

UseaproductionWSGIserverinstead.

*Debugaode:on

*Runningon:5000/(PressCTRL*Ctoquit)

*Restartingwithstat

?Debuggerisactive!

*DebuggerPIN:676-924-156

D

通常惡意APP會捆綁官方APP,被打包下載，并靜默

安裝到手機。惡意軟件，并在

用戶打開官方APP時，。當用戶在被覆蓋

的頁面輸入個人信息時，惡意APPo

竊密場景三：APP漏洞利用

如果APP應用存在文件處理功能上的漏洞，惡意人員可以使用惡意文件來利用

它并訪問應用的敏感信息，一旦被打開，它將利用應用的漏洞產生嚴重破壞。

18

“II中國移就4G17：25

ZipperDown演示視頻匕

竊密演示三：ZipperDown漏洞a微博

漏洞原理：

第三方zip庫在解壓zip文件過程中

,從而產生了

目錄穿越漏洞，導致iOS應用

,并且使用ziparchive庫解壓，利用漏洞可

以做到appcontainer目錄下的任意文件覆蓋，

造成、的風險。

HM

按季度訂閱微博會員￥30.00

用于微博

6星38項

微博會員守權

19

當

I|00010119或尤

竊密場景四：調試注入

惡意人員利用手機終端的ADB調試功能可以分析APP應用，并獲得應用信息或功能的

訪問權限。我們需要注意合法手機用戶也可以惡意地竊取應用里的敏感信息。

20

竊密演示四：APP注入

Is通過逆向分析等方式對該APP進行破解，獲取該APP的

關鍵實現邏輯，找到輸入卡號和密碼等關鍵函數的調用位

置；

2、‘用Xposed等框架進行惡意代碼注入，會在用戶輸入卡

號和密碼時進行劫持竊取；

3、將獲取到的用戶名和密碼發送到黑客服務器上。

Kfevtj*elaMMII*

竊密場景五：APP逆向破解

惡意人員通過Androidkillcr、JEB、Jadx等逆向工具進行反編譯后查看源代碼，通過一定

的特征追蹤到程序關鍵處，對關鍵處進行分析或是爆破以達到破解的目的。

22

竊密演示五：APP破解&用戶信息遍歷

BurpHrwd<rMp?ate?Help

|IProxy]Sp"jScwe.]KrvdsjR-Bjjeoueztf|D?Mr；￡cmp.ar；Exnwder；Presetopoom[皿歲o(wj1

|—??《,■:MTT6—>\WvbUfI-ryI0ft.t]

Oopkarc?0<?"Acoon::團

RAWFaramt9M?，，Ht?

0

1、使用任意用戶號碼嘗試登陸APP,提示密碼錯誤，更改

手機號后提示未注冊；?

2、通過逆向分析獲取登陸功能的實現邏輯及關鍵密鑰；

3、根據逆向分析結果編寫自動化腳本，實現對該APP用戶◎

集的遍歷，從而獲取注冊該平臺的用戶賬號信息。a

獲取用戶賬號信息后，可進一步通過暴力破解得到用

<1

戶密碼等關鍵信息，從而劫持用戶數據，甚至竊取用戶錢

包、銀行卡信息等，造成用戶的財產損失，同時造成企業O

商業機密泄露，影響企業聲譽和資產安全。□

竊密場景六：APP反編譯和二次打包

是將打包生成的APK文

件裝換成為匯編文件，并對其中

的配置文件進行解碼的過程。

Android系統上常使用的工具

apktooL

是指將反編譯后的

APK文件,進行篡改并重打包,

重新生成APK文件，然后將生成

的APK文件進行簽名安裝。

24

竊密演示六：二次打包

M2/UM11>UIMKA

5■田oclbetJOOjH/231<B

2917007MIOKB

?\WM>612APKM

K??9^P^M17/7/11：M>Wotfow**?

UMAabUJarf?8U

WiArypkBMM1/SHDK8M

J.wvfc*?*5O9p?^P€M?tt2KB

.tHm

G?MA0

jR?H

.工作(GO

j—g)

“M??MS

二?和

二次打包植入惡意代碼后，APP的性能、用戶體驗和外

觀都跟原版AP〉一樣，但它悄悄運行著其他惡意程序，

輕者消耗流量，重則惡意扣費、偷窺隱私等。

8個rm

叩依。。1反編譯apk文件sign叩k為修改好的apk文件簽名

竊密場景七：山寨仿冒

是指未經版權所有人同應用名稱版本號所屬市場頁圓地址

意或授權的情況下，通過盜用正版手機海寶J.0安貝市場/app/info/appid/11307

應用的、、仿冒知名手機海寶J.0安卓之家http:〃/xlQi/2504076.html

、盜用正版等方式對手機淘寶J.0安粉磯釣http:〃wwwappfuncn/app/info/aD0d/：l=3O7

正版應用進行仿冒，再上架到移動項目盜版應用相關信息正版應用相關信息

應由市場的移動應用程序。

MD5值c923169e14fecf89b055efff4aab753d

圖標囂）

名字手機淘寶手機淘寶

大小0.93MB38.33MB

版本3.05.5.0

包名com.zlsjtb.nodelcom.taobao.taobao

CN=taobao&OU=taobao&

簽名證書CN=im&OU=ie&O=ing&L=ot&ST=wn&

0=taobao&L=hangzhou&

信息C=cn

ST=zhejiang&C=CN

26

:。:▼/13:02

竊密演示七：仿冒微信

通過仿冒正版微信的、、

等，騙取用戶

微信。

微信

27

匕qa1

移動互聯網安全形勢

目錄移動安全竊密場景演示>

Contents__________________________>

移動安全的思考與建議-----

移動APP安全威脅總結

APP程序安全運行環境安全網絡通信安全服務端API安全

?身份認證繞過?Root環境/模擬器?HTTP明文傳輸?暴力破解密碼

?二次打包植入代碼?已安裝xposed、cydia?HTTFS中間人劫持?Session重放

等攻擊插件框架

（病毒、廣告）?SQL注入

?手機存在病毒/木馬

?動態調試修改內存數?拒絕服務

據

?界面劫持釣魚

29

移動APP安全防御技術

終端威脅感知

1運行環境監測WEB防火墻（WAF）

2惡意攻擊監測自適應保護（RASP）

智能手機安全區域3程序崩潰監測