移動終端安全性

1、移動終端安全性 互聯(lián)網(wǎng)的發(fā)展可以用日新月異來形容，互聯(lián)網(wǎng)給人們的生產(chǎn)生活帶來巨大變化，對很多領域的創(chuàng)新發(fā)展起到很強帶動作用。 但同時，因為網(wǎng)絡具有開放性、隱蔽性、跨地域性等特性，存在很多安全問題亟待解決。2015年國際上就發(fā)生過很多網(wǎng)絡安全事件，如美國人事管理局OPM數(shù)據(jù)泄露，規(guī)模達2570萬，直接導致主管引咎辭職；英寬帶運營商TalkTalk被反復攻擊，400余萬用戶隱私數(shù)據(jù)終泄露；摩根士丹利35萬客戶信息涉嫌被員工盜取；日養(yǎng)老金系統(tǒng)遭網(wǎng)絡攻擊，上百萬份個人信息泄露等。 可能大家都認為網(wǎng)絡安全問題離我們很遙遠。中國有6.7億網(wǎng)民、413萬多家網(wǎng)站。現(xiàn)如今，互聯(lián)網(wǎng)技術已經(jīng)深度融入到我們生活的方

2、方面面，衣食住行、支付、理財、通訊等全都與互聯(lián)網(wǎng)離不開關系。而在我們的日常生活中，網(wǎng)絡安全事件也時常發(fā)生。網(wǎng)易郵箱過億數(shù)據(jù)泄漏網(wǎng)易郵箱過億數(shù)據(jù)泄漏 10月19日下午消息，烏云今日宣布發(fā)現(xiàn)新漏洞，此漏洞將導致網(wǎng)易163/126郵箱過億數(shù)據(jù)泄漏，報告稱網(wǎng)易的用戶數(shù)據(jù)庫疑似泄露，影響數(shù)量總共數(shù)億條，泄露信息包括用戶名、MD5密碼、密碼提示問題/答案（hash）、注冊IP、生日等。蘋果蘋果XcodeGhostXcodeGhost事件事件 Xcode為蘋果公司提供的程序編寫軟件，用于開發(fā)蘋果應用程序(蘋果APP)。9月19日爆出開發(fā)者在通過一些非蘋果公司官方渠道下載的Xcode工具開發(fā)蘋果APP時，會向

3、正常的蘋果APP中植入惡意代碼，被植入惡意代碼的蘋果APP可以在App Store正常下載并安裝使用，導致用戶隱私泄露，微信、滴滴打車、百度音樂、58同城、網(wǎng)易云音樂等350余款APP被感染數(shù)千萬社保用戶信息泄露數(shù)千萬社保用戶信息泄露 2015年4月22日，從補天漏洞響應平臺獲得的數(shù)據(jù)顯示，圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量爆出高危漏洞的省市就已經(jīng)超過30個，僅社保參保信息、財務、薪酬、房屋等敏感信息。這些信息一旦泄露，造成的危害不僅的個人隱私全無，還會被犯罪分子利用，例如復制身份證、盜用信用卡、盜刷信用卡等一系列刑事犯罪和經(jīng)濟犯罪。七大酒店泄露大量房客開房信息七大酒店泄露大量房

4、客開房信息 2015年2月漏洞盒子平臺的安全報告指出，知名連鎖酒店桔子、錦江之星、速八、布?。桓叨司频耆f豪酒店集團、喜達屋集團、洲際酒店集團存在嚴重安全漏洞房客開房信息大量泄露，一覽無余，黑客可輕松獲取到千萬級的酒店顧客的訂單信息，包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡后四位、信用卡截止日期、郵件等等大量敏感信息。XSSXSS跨站腳本攻擊跨站腳本攻擊Android我查查app存在存儲型xss漏洞，盲打已打管理cookie 人人車APP客戶端存儲型xss可推送各種信息SQLSQL注射漏洞注射漏洞拉手團購客戶端存在SQL注入 新浪微博Android客戶端漏

5、洞打包（設計缺陷/拒絕服務/敏感信息泄露/SQL注入）拒絕服務拒絕服務攜程客戶端拒絕服務漏洞 滴滴出行客戶端本地拒絕服務 權限提升權限提升搜狗輸入法權限提升漏洞中國人民保險app用戶登錄繞過+用戶敏感信息泄露遠程代碼執(zhí)行遠程代碼執(zhí)行百度地圖/輸入法應用安卓版遠程代碼執(zhí)行漏洞影音先鋒安卓APP遠程代碼執(zhí)行漏洞高德地圖遠程獲取手機的敏感信息可遠程命令執(zhí)行（可以遠程利用非webview）用戶敏感數(shù)據(jù)泄露用戶敏感數(shù)據(jù)泄露17173安卓客戶端敏感信息泄露 CSDN安卓客戶端賬戶密碼本地明文存儲可被遠程竊取及其他漏洞 速8酒店Android客戶端敏感信息泄露（明文密碼/手機號/郵箱/訂單等）設計錯誤設計錯

6、誤/ /邏輯缺陷邏輯缺陷搜狗手機瀏覽器邏輯缺陷可獲取隱私信息 如意淘客戶端升級校驗不嚴格可導致被中間人利攻擊利用植入木馬e樂充公交卡充值支付漏洞（可實現(xiàn)不花錢充值）來源來源 /index.php/index.php 隨著智慧城市和移動互聯(lián)網(wǎng)的快速發(fā)展，智能手機、平板電腦等移動終端用戶數(shù)量呈爆發(fā)式增長，移動應用快速發(fā)展，極大方便了廣大用戶日常工作、學習、生產(chǎn)和生活。移動互聯(lián)的擴張，移動APP承載了更多企業(yè)的終端夢。用戶手機安裝APP以后，企業(yè)即埋下一顆種子，可持續(xù)與用戶保持聯(lián)系。 種子是種下了，可要是它本身就是個特洛

7、伊木馬呢?試想你在某某知名APP平臺下載安裝一款知名APP，深更半夜突然響起了THE PHANTOM OF THE OPERA那會是怎樣的一種情景！打包黨：通過反編譯官方apk，向apk內注入所需的代碼，重新打包簽名發(fā)布。可以插入廣告，淘寶客，惡意代碼等。接口黨：通過抓包工具、逆向工具等得知客戶端與服務器端的通信規(guī)則，進而偽造請求業(yè)務接口。木馬黨：偽造官方應用，盜取個人用戶信息，非法使用流量，惡意吸費等。設計缺陷：設計存在缺陷可能導致直接獲取內部關鍵系統(tǒng)甚至滲透，手機客戶端XSS盲打后臺。其他威脅： 手機二維碼釣魚。 無線DDOS攻擊與CC攻擊。 4G網(wǎng)絡+高配手機形成的僵尸網(wǎng)絡。 目前我們的

8、終端App測試還是以發(fā)現(xiàn)bug為主，主要測試流程就是客戶端功能性覆蓋，UI測試，以及自動化配合的性能，適配，壓測等，對于App安全性測試貌似沒有系統(tǒng)全面統(tǒng)一的標準和流程，其實安全性bug也可以是bug的一種，只不過更加隱秘，難以發(fā)現(xiàn)，尤其針對于終端App。1. 1. 用戶隱私用戶隱私是否在本地保存用戶密碼，無論加密與否敏感的隱私信息，如聊天記錄、關系鏈、銀行賬號等是否進行加密是否將系統(tǒng)文件、配置文件明文保存在外部設備上部分需要存儲到外部設備的信息，需要每次使用前都判斷信息是否被篡改2. 2. 數(shù)據(jù)庫安全數(shù)據(jù)庫安全數(shù)據(jù)庫訪問控制數(shù)據(jù)機密性，是否加密儲存數(shù)據(jù)完整性，是否可以備份和恢復3. 3. 文

9、件權限文件權限檢查App所在的目錄，其權限必須為不允許其他組成員讀寫4. 4. 網(wǎng)絡通訊網(wǎng)絡通訊檢查敏感信息在網(wǎng)絡傳輸中是否做了加密處理，重要數(shù)據(jù)要采用TLS或者SSL客戶端與服務器端接口設計是否防重放，防篡改，防劫持。5. 5. 運行時解釋保護運行時解釋保護對于嵌有解釋器的軟件，檢查是否存在XSS、SQL注入漏洞使用webview的App，檢查是否存在URL欺騙漏洞6. Android6. Android組件權限保護組件權限保護禁止App內部組件被任意第三方程序調用。若需要供外部調用的組件，應檢查對調用者是否做了簽名限制7. 7. 升級升級檢查是否對升級包的完整性、合法性進行了校驗，避免升級

10、包被劫持8.8.日志日志/ /數(shù)據(jù)泄密數(shù)據(jù)泄密應用Release版本發(fā)布時應關閉Log輸出uses-permission android:name=android.permission.READ_LOGS 用戶身份相關的敏感信息：如手機、郵箱、身份證號碼等打*顯示首先介紹下要用到的工具：jdk:這個不用多說了baksmali：把classes.dex轉為為smali文件的工具dex2jar：classes.dex轉為jar包的工具jdgui：閱讀jar文件的工具smali：把smali文件編譯打包為classes.dex的工具sign_tool : 簽名工具1、解壓apk文件，獲取classe

11、s.dex并拷貝到資源根目錄2、使用baksmali工具將classes.dex轉為smali文件，在命令行定位到資源根目錄并執(zhí)行： java -jar baksmali-2.0.3.jar -x classes.dex 執(zhí)行完后會在當前目錄下生成out目錄，目錄結構跟源碼相同，在對應目錄下查找對應的smali文件3、使用dex2jar工具把dex轉為jar文件，拷貝classes.dex到資源目錄下的dex2jar- 5目錄下，把命令行定位到該目錄并執(zhí)行： dex2jar.bat classes.dex 執(zhí)行完后會在當前目錄下生成classes_dex2jar.jar文件，然后

12、可以通過jdgui進行查看4、使用jdgui工具查看com.zhf.cloudphone的源碼l55、修改對應的smali文件6、使用smali-2.0.3.jar工具把smali文件轉為dex文件，把命令行定位到資源根目錄并執(zhí)行： java -jar smali-2.0.3.jar -o classes.dex out 執(zhí)行完后會生成并替換掉根目錄下的classes.dex文件，這樣就修改成功了7、把新生成的classes.dex文件替換到原來的apk文件里8、使用簽名工具對apk進行簽名，把apk拷貝到資源根目錄下的sign_tool目錄，把命令行定位到該目錄并執(zhí)行： java -jar

13、signapk.jar platform.x509.pem platform.pk8 com.zhf.cloudphone.apk Signed.apk 執(zhí)行完后會在該目錄下生成Signed.apk文件，這個文件就是最終的文件了9、卸載原來的com.zhf.cloudphone，安裝第8步中生成的Signed.apk文件，運行效果如下圖 1 1、需要的軟件：、需要的軟件：android sdk 抓包：tcpdump分析包：Wireshark 2 2、安裝、安裝tcpdumptcpdump 要為Android手機安裝tcpdump，首先必須將Android手機root adb push D:/t

14、cpdump /data/local/tcpdump /把tcpdump放在data/local路徑下 adb shell su chmod 777 /data/local/tcpdump3 3、使用、使用tcpdumptcpdump開始網(wǎng)絡抓包開始網(wǎng)絡抓包 cd /data/local/ ./tcpdump -p -vv -s 0 -w /sdcard/test.pcaptcpdumptcpdump常用的參數(shù)常用的參數(shù)-a 將網(wǎng)絡地址和廣播地址轉變成名字；-e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息，包括源mac和目的mac，以及網(wǎng)絡層的協(xié)議；-l 使標準輸出變?yōu)榫彌_行形式；-n 指定將每個監(jiān)聽

15、到數(shù)據(jù)包中的域名轉換成IP地址后顯示，不把網(wǎng)絡地址轉 換成名字；-nn： 指定將每個監(jiān)聽到的數(shù)據(jù)包中的域名轉換成IP、端口從應用名稱轉換成端口號后顯示-t 在輸出的每一行不打印時間戳；-v 輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息；-vv 輸出詳細的報文信息；-c 在收到指定的包的數(shù)目后，tcpdump就會停止；-F 從指定的文件中讀取表達式,忽略其它的表達式；-i 指定監(jiān)聽的網(wǎng)絡接口；-p： 將網(wǎng)卡設置為非混雜模式，不能與host或broadcast一起使用-r 從指定的文件中讀取包(這些包一般通過-w選項產(chǎn)生)；-w 直接將包寫入文件中，并不分析和打印出來；-s (snaplen)snaplen表示從一個包中截取的字節(jié)數(shù)。0表示包不截斷，抓完整的數(shù)據(jù)包。默認的話 tcpdump 只顯示部分數(shù)據(jù)包,默認68字節(jié)。-T 將監(jiān)聽到的包直接解釋為指定的類型的報文，常見的類型有rpc （遠程過程調用）和snmp（簡單網(wǎng)絡管理協(xié)議；）-X 告訴tcpdump命令，需要把協(xié)議頭和包內容都原原本本的顯示出來（tcpdump會以16進制和ASCII的形式顯示），這在進行協(xié)議