腾讯云安全:移动 APP 安全行业报告
移动APP已逐步渗透入我们的生活,据统计, 2016 年,APP发行数量仅电商、金融、游戏这三大类共计高达 2 万左右,国内移动互联网活跃用户数已经突破 10 亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析,整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。 本移动APP安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动APP安全行业本貌。本期来看金融篇。 金融行业移动APP安全 现状概述 据统计, 2015 年金融行业移动APP用户约为 8 亿, 2016 年用户约增长至 10 亿。 (金融行业移动APP受漏洞影响如图所示) 高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。 中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。 低危占比37%:应用崩溃,APP主要逻辑被逆向。 支付安全问题位列金融行业移动APP安全问题之首。 安全问题种类繁多,但其究竟是如何给广大APP用户造成危害的,我们选取一枚案例共同深入分析。 金融行业移动APP所遇到的安全问题 案例说话 1.客户端与服务器传输安全 中间人攻击原理:中间人攻击主要发生在客户端与服务器通信过程中,黑客利用网络协议的漏洞,进行数据监听数据窃取以及数据篡改等违法行为。 正常通信过程如下所示: 在android的https协议中,若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名,就会触发中间人攻击漏洞。 非正常通信过程如下图所示: 乐固团队分析发现大部分银行和理财类APP,都存在此漏洞。 (某银行APP反编译代码截图) 2.用户输入数据传输安全 用户手机如果root过,病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息,并转发到不法分子手中。 著名漏洞平台上曾经曝光过著名输入法的输入漏洞。 (某电商APP键盘记录漏洞) 3.本地数据安全 安卓Shared Preferences本地存储方式是开发者常用的存储本地信息的方式,但在root过的手机上,黑客可以轻松查阅这些明文保存的信息。 而android自带的SQLite数据库,也是以明文的形式存储在本地文件中的。黑客同样可以在root过的手机中查看这些信息。 (手机里存储的明文文件) 金融行业移动APP安全问题 解决方案 1.安全支付解决方案 采用高强度的加密键盘,严格的双认证传输通道,从输入层到传输层保护了每一笔交易每一次数据传输的安全。 2.本地安全存储方案 对本地文件进行加密保护。防止本地文件被窃取盗用的风险。 3.高级APP安全防护方案 能在APP代码层面进行加密加花,可防破解,防盗版,防注入,防调试等。 4.安全身份认证体系 专为金融客户量身打造,包括人脸核身,短信认证等多重方案。可帮助金融客户在身份认证这一层打击不法分子。 电商行业移动APP安全 现状概述 2016 年移动电商APP总用户数量约6. 3 亿,其中约2. 7 亿用户遭受过不同程度安全问题,占比约43%。 (电商行业移动APP受漏洞影响如图所示) 高危占比14%:数据传输不安全导致用户订单泄露、篡改。 中危占比55%:本地数据存储不安全、用户隐私泄露。 低危占比29%:APP业务逻辑被破解、算法剽窃。 支付安全问题依旧位列电商行业移动APP安全问题之首,而被“薅羊毛”问题当属电商行业移动APP安全问题的代表。 本篇报告我们针对电商行业移动APP代表性安全问题——被“薅羊毛”共同深入分析。 电商行业移动APP所遇安全问题 图示说话 与传统零售相比,用户网购体验流程区别较大,基本遵循下图所示的网购流程。 (网购流程图) 每一个环节都可能引致重大的安全问题,电商APP也不例外。下面谈谈网购流程中较容易出现安全问题的三个环节: 1.账号注册-登录 电商APP的使用流程中,注册-登录过程都可以通过一些自动化工具来完成——批量注册账号、扫号。“羊毛党”们则利用了这一点,刷取了大量的活动资源。因此,电商APP账号注册-登录系统则是电商平台打击黑产以及薅羊毛的第一道防线。 (“羊毛党”们批量注册、扫号流程图) PS:扫号是指使用扫号器对账号、密码进行批量验证。 2.商品浏览 (编辑:ASP站长网) |