2024移動(dòng)安全技術(shù)及竊密防護(hù)_第1頁(yè)
2024移動(dòng)安全技術(shù)及竊密防護(hù)_第2頁(yè)
2024移動(dòng)安全技術(shù)及竊密防護(hù)_第3頁(yè)
2024移動(dòng)安全技術(shù)及竊密防護(hù)_第4頁(yè)
2024移動(dòng)安全技術(shù)及竊密防護(hù)_第5頁(yè)
已閱讀5頁(yè),還剩33頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

0移動(dòng)安全技術(shù)及竊密防護(hù)20241移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)3移動(dòng)安全的思考與建議2移動(dòng)安全竊密場(chǎng)景演示手機(jī)上網(wǎng)用戶12.2億占網(wǎng)民總量82.2%智能手機(jī)終端23.3億九成以上是Android/iOS游戲7.37.98.38.68.90.00%2.00%4.00%6.00%8.00%10.00%02468102014年2017年2018年2014-2018年全國(guó)移動(dòng)用戶規(guī)模2015年 2016年移動(dòng)用戶規(guī)模:億增長(zhǎng)率%46720605420.00%

40.00%20.00%140.00%120.00%100.00%80.00%60.00%06000040000 30794.620000

13437.7 800002014年2014-2018年中國(guó)移動(dòng)互聯(lián)網(wǎng)市場(chǎng)規(guī)模765472015年 2016年 2017年 2018年?duì)I業(yè)規(guī)模:億元 環(huán)比增長(zhǎng)率%社交電子商務(wù)移動(dòng)政務(wù)用戶操作系統(tǒng)用途2移動(dòng)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀移動(dòng)A

PP高速增長(zhǎng)截至2018年5月,我國(guó)本土第三方應(yīng)用商店安卓移動(dòng)應(yīng)用累計(jì)數(shù)量達(dá)到415萬(wàn)款,蘋果商店移動(dòng)應(yīng)用累計(jì)數(shù)量約182萬(wàn)款,而官方尚未進(jìn)入我國(guó)市場(chǎng)的谷歌商店移動(dòng)應(yīng)用累計(jì)數(shù)量約280萬(wàn)款。415280182450400350300250200150100500國(guó)內(nèi)市場(chǎng)蘋果商店谷歌商店移動(dòng)應(yīng)用數(shù)量統(tǒng)計(jì)3全國(guó)渠道市場(chǎng)共有434家,北上廣占比47.93%。11

1222

23455

5679910

111517

1829

31

57

63504030201007060黑龍江云南海南山西遼寧江西天津廣西香港重慶河南河北陜西山東四川安徽江蘇貴州浙江湖北湖南福建上海廣東北京手機(jī)應(yīng)用管理廠商第三方應(yīng)用市場(chǎng)下載站、論壇電信運(yùn)營(yíng)商手機(jī)制造商A

PP分發(fā)渠道百花齊放Google

PlayApp

Store國(guó)外只有有2家4VS5iOS歷年漏洞數(shù)量統(tǒng)計(jì) Android歷年漏洞數(shù)量統(tǒng)計(jì)iOS漏洞確實(shí)比Android少很多,但并不一定就是安全的?。?!手機(jī)系統(tǒng)漏洞依然嚴(yán)峻i

O

S

與A

n

d

roi

d

漏洞數(shù)量對(duì)比移動(dòng)A

PP安全岌岌可危據(jù)通付盾移動(dòng)安全監(jiān)測(cè)平臺(tái)數(shù)據(jù)顯示88,0204款A(yù)PP存在已知高危安全漏洞,移動(dòng)應(yīng)用高危漏洞正在明顯增多,高危漏洞容易被黑客攻擊利用,造成交易劫持、信息篡改、數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)。移動(dòng)APP建設(shè)單位、運(yùn)營(yíng)單位應(yīng)當(dāng)高度重視,提前規(guī)避安全風(fēng)險(xiǎn)6國(guó)外移動(dòng)A

PP安全情況95%的APP沒(méi)能通過(guò)基線安全測(cè)試,68%的APP存在4個(gè)以上安全漏洞。7數(shù)據(jù)來(lái)源Appknox:檢測(cè)樣本來(lái)自美國(guó)、英國(guó)、澳大利亞、新加坡、印度TOP

500電子商務(wù)類APP惡意軟件多種傳播渠道手機(jī)惡意軟件黑色產(chǎn)業(yè)鏈成熟,外部環(huán)境安全不佳。移動(dòng)互聯(lián)網(wǎng)黑產(chǎn)肆虐65.019.24%應(yīng)用市場(chǎng)543.0811%22.51%軟件捆綁31.961.88手機(jī)資源站21.75手機(jī)論壇100.2070.5570.94711.25%17.34%網(wǎng)盤傳播2014 2015 2016 2017病毒感染用戶數(shù)(億) 黑產(chǎn)人均損失(萬(wàn)元)12.37%16.29%二維碼ROM內(nèi)置82014-2017年,手機(jī)木馬病毒感染用戶及人均損失越是不知道,影響越嚴(yán)重!9FACEBOOK數(shù)據(jù)泄密,五千萬(wàn)用戶數(shù)據(jù)遭濫用數(shù)據(jù)泄漏屢見(jiàn)不鮮加拿大航空移動(dòng)APP數(shù)據(jù)泄露,2萬(wàn)+用戶遭殃第三方SDK導(dǎo)致數(shù)百萬(wàn)APP存在泄露個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)華住旗下多個(gè)連鎖酒店泄漏5億條開(kāi)房信息Facebook再曝?cái)?shù)據(jù)丑聞:1.2億用戶數(shù)據(jù)面臨泄露風(fēng)險(xiǎn) 航旅縱橫APP泄露航班乘客個(gè)人隱私信息國(guó)家電網(wǎng)APP出現(xiàn)數(shù)據(jù)泄露

涉及用戶已超千萬(wàn)12306數(shù)據(jù)泄露原因曝光:手機(jī)APP漏洞導(dǎo)致“撞庫(kù)”T-Mobile遭遇數(shù)據(jù)泄露,約200萬(wàn)用戶受影響 數(shù)千款iOS/Android應(yīng)用泄露了113GB數(shù)據(jù)HIV患者約會(huì)App泄漏5千用戶數(shù)據(jù)世紀(jì)佳緣官方APP存在SQL注入,550W+用戶數(shù)據(jù)被泄露數(shù)據(jù)泄漏屢見(jiàn)不鮮10數(shù)據(jù)泄漏黑產(chǎn)11移動(dòng)應(yīng)用重功能,輕安全,導(dǎo)致安全漏洞頻發(fā),防護(hù)能力弱,APP成為數(shù)據(jù)泄露新主體。不法分子開(kāi)始利用移動(dòng)應(yīng)用從事網(wǎng)絡(luò)色情、網(wǎng)絡(luò)賭博、販毒吸毒等違法犯罪活動(dòng)。移動(dòng)惡意程序形勢(shì)嚴(yán)峻,山寨應(yīng)用混淆視聽(tīng),嚴(yán)重侵害廣大手機(jī)網(wǎng)民日常生活。移動(dòng)互聯(lián)網(wǎng)安全趨勢(shì)1移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)3移動(dòng)安全的思考與建議2移動(dòng)安全竊密場(chǎng)景演示移動(dòng)安全竊密場(chǎng)景分析典型的移動(dòng)APP系統(tǒng)&網(wǎng)絡(luò)環(huán)境2.調(diào)試注入133.APP漏洞利用逆向破解二次打包山寨仿冒中間人竊密4.惡意軟件竊密竊密場(chǎng)景一:

網(wǎng)絡(luò)中間人竊密14惡意人員可以通過(guò)網(wǎng)絡(luò)(局域網(wǎng)或Wi-Fi)來(lái)嗅探(訪問(wèn))APP與服務(wù)器之間通信的任何信息(敏感數(shù)據(jù)),或者試圖修改信息(數(shù)據(jù)操作)。竊密演示一:

中間人竊密手機(jī)APP程序使用HTTP明文傳輸賬號(hào)密碼到服務(wù)器驗(yàn)證,本視頻利用Burp

Suite抓包截取賬號(hào)密碼。賬號(hào)密碼的丟失會(huì)導(dǎo)致用戶個(gè)人信息泄露,甚至可能造成財(cái)產(chǎn)損失。15竊密場(chǎng)景二:

惡意軟件竊密16智能手機(jī)用戶可以免費(fèi)下載APP應(yīng)用,有時(shí)也會(huì)錯(cuò)誤地安裝惡意軟件。惡意軟件有可能會(huì)利用程序間通信功能或程序內(nèi)部的漏洞,來(lái)實(shí)現(xiàn)竊密目的。竊密演示二:

界面劫持17通常惡意APP會(huì)捆綁官方APP,被打包下載,并靜默安裝到手機(jī)。惡意軟件仿制官方APP登錄頁(yè)面,并在用戶打開(kāi)官方APP時(shí),覆蓋其頁(yè)面。當(dāng)用戶在被覆蓋的頁(yè)面輸入個(gè)人信息時(shí),惡意APP竊取到用戶數(shù)據(jù)。竊密場(chǎng)景三:

A

PP漏洞利用18如果APP應(yīng)用存在文件處理功能上的漏洞,惡意人員可以使用惡意文件來(lái)利用它并訪問(wèn)應(yīng)用的敏感信息,一旦被打開(kāi),它將利用應(yīng)用的漏洞產(chǎn)生嚴(yán)重破壞。竊密演示三:

Z

i

p

p

e

r

D

o

w

n

漏洞19漏洞原理:第三方zip庫(kù)在解壓zip文件過(guò)程中沒(méi)有考慮文件名中帶有”../../”這樣的情況,從而產(chǎn)生了目錄穿越漏洞,導(dǎo)致iOS應(yīng)用下載了惡意的zip文件,并且使用ziparchive庫(kù)解壓,利用漏洞可以做到app

container目錄下的任意文件覆蓋,造成應(yīng)用崩潰、任意代碼執(zhí)行的風(fēng)險(xiǎn)。惡意人員利用手機(jī)終端的ADB調(diào)試功能可以分析APP應(yīng)用,并獲得應(yīng)用信息或功能的訪問(wèn)權(quán)限。我們需要注意合法手機(jī)用戶也可以惡意地竊取應(yīng)用里的敏感信息。20竊密場(chǎng)景四:

調(diào)試注入21竊密演示四:

A

PP注入1、通過(guò)逆向分析等方式對(duì)該APP進(jìn)行破解,獲取該APP的關(guān)鍵實(shí)現(xiàn)邏輯,找到輸入卡號(hào)和密碼等關(guān)鍵函數(shù)的調(diào)用位置;2、用Xposed等框架

進(jìn)行惡意代碼注入,會(huì)在用戶輸入卡號(hào)和密碼時(shí)進(jìn)行劫持竊??;3、將獲取到的用戶名和密碼發(fā)送到黑客服務(wù)器上。惡意人員通過(guò)Androidkiller

、JEB

、Jadx等逆向工具進(jìn)行反編譯后查看源代碼,通過(guò)一定的特征追蹤到程序關(guān)鍵處,對(duì)關(guān)鍵處進(jìn)行分析或是爆破以達(dá)到破解的目的。22竊密場(chǎng)景五:

A

PP逆向破解竊密演示五:

A

PP破解&

用戶信息遍歷231、使用任意用戶號(hào)碼嘗試登陸APP,提示密碼錯(cuò)誤,更改手機(jī)號(hào)后提示未注冊(cè);2、通過(guò)逆向分析獲取登陸功能的實(shí)現(xiàn)邏輯及關(guān)鍵密鑰;3、根據(jù)逆向分析結(jié)果編寫自動(dòng)化腳本,實(shí)現(xiàn)對(duì)該APP用戶集的遍歷,從而獲取注冊(cè)該平臺(tái)的用戶賬號(hào)信息。獲取用戶賬號(hào)信息后,可進(jìn)一步通過(guò)暴力破解得到用戶密碼等關(guān)鍵信息,從而劫持用戶數(shù)據(jù),甚至竊取用戶錢包、銀行卡信息等,造成用戶的財(cái)產(chǎn)損失,同時(shí)造成企業(yè)商業(yè)機(jī)密泄露,影響企業(yè)聲譽(yù)和資產(chǎn)安全。反編譯是將打包生成的APK文件裝換成為匯編文件,并對(duì)其中的配置文件進(jìn)行解碼的過(guò)程。Android系統(tǒng)上常使用的工具apktool。二次打包是指將反編譯后的APK文件,進(jìn)行篡改并重打包,重新生成APK文件,然后將生成的APK文件進(jìn)行簽名安裝。24竊密場(chǎng)景六:

A

PP反編譯和二次打包竊密演示六:

二次打包25二次打包植入惡意代碼后,APP的性能、用戶體驗(yàn)和外觀都跟原版APP一樣,但它悄悄運(yùn)行著其他惡意程序,輕者消耗流量,重則惡意扣費(fèi)、偷窺隱私等。竊密場(chǎng)景七:

山寨仿冒應(yīng)用名稱版本號(hào)所屬市場(chǎng)頁(yè)面地址手機(jī)淘寶3.0安貝市場(chǎng)/app/info/appid/11307手機(jī)淘寶3.0安卓之家/xtgj/2504076.html手機(jī)淘寶3.0安粉磯釣/app/info/appid/11307山寨仿冒是指未經(jīng)版權(quán)所有人同意或授權(quán)的情況下,通過(guò)盜用正版應(yīng)用的圖標(biāo)、名稱、仿冒知名軟件功能、盜用正版軟件界面等方式對(duì)正版應(yīng)用進(jìn)行仿冒,再上架到移動(dòng)應(yīng)用市場(chǎng)的移動(dòng)應(yīng)用程序。26竊密演示七:

仿冒微信27通過(guò)仿冒正版微信的圖標(biāo)、名稱、軟件運(yùn)行及登錄界面等,騙取用戶微信賬號(hào)及密碼。1移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)3移動(dòng)安全的思考與建議2移動(dòng)安全竊密場(chǎng)景演示移動(dòng)A

PP安全威脅總結(jié)APP程序安全身份認(rèn)證繞過(guò)二次打包植入代碼(病毒、廣告)動(dòng)態(tài)調(diào)試修改內(nèi)存數(shù)據(jù)界面劫持釣魚……運(yùn)行環(huán)境安全Root環(huán)境/模擬器已安裝xposed、cydia等攻擊插件框架手機(jī)存在病毒/木馬……網(wǎng)絡(luò)通信安全HTTP明文傳輸HTTPS中間人劫持……服務(wù)端API安全暴力破解密碼Session重放SQL注入拒絕服務(wù)……29移動(dòng)A

PP安全防御技術(shù)① SQLite數(shù)據(jù)庫(kù)加密② SharePre數(shù)據(jù)加密APP安全加固① 防逆向破解② 防調(diào)試注入③ 界面防劫持……終端威脅感知① 運(yùn)行環(huán)境監(jiān)測(cè)② 惡意攻擊監(jiān)測(cè)③ 程序崩潰監(jiān)測(cè)通信協(xié)議加密通信數(shù)據(jù)加密本地典存型儲(chǔ)的加移密動(dòng)APP系統(tǒng)&網(wǎng)網(wǎng)絡(luò)絡(luò)屏環(huán)蔽境&混淆(防火墻、蜜罐、API鑒權(quán)等)WEB防火墻(WAF)自適應(yīng)保護(hù)(RASP)敏感數(shù)據(jù)加密數(shù)據(jù)安全保護(hù)業(yè)務(wù)安全① 防止撞庫(kù)破解② 防止批量注冊(cè)③ 業(yè)務(wù)風(fēng)險(xiǎn)控制④ ……30多方共建移動(dòng)安全環(huán)境甲方全生命周期31監(jiān)管方技管并重乙方全流程保障產(chǎn)品服務(wù)合規(guī)合規(guī)持續(xù)改進(jìn)業(yè)務(wù)梳理需求分析架構(gòu)設(shè)計(jì)SDL規(guī)范源碼審計(jì)安全測(cè)試安全加固安全組件版權(quán)保護(hù)渠道監(jiān)測(cè)威脅感知應(yīng)急響應(yīng)安全 安全設(shè)計(jì) 開(kāi)發(fā)安全 安全運(yùn)營(yíng) 發(fā)布32甲方:

做好全生命周期安全-

從源頭抓起業(yè)界最佳實(shí)踐-

D

ev

S

ec

O

p

s33開(kāi)發(fā)安全運(yùn)營(yíng)一體化:

全生命周期、全流程、持續(xù)改進(jìn)設(shè)計(jì)咨詢開(kāi)發(fā)咨詢上線保護(hù)運(yùn)行監(jiān)測(cè)運(yùn)營(yíng)保障業(yè)務(wù)梳理安全需求威脅建模安全規(guī)劃S-SDL規(guī)范安全培訓(xùn)編碼規(guī)范源碼審計(jì)滲透測(cè)試安全加固安全組件上線評(píng)估環(huán)境監(jiān)測(cè)攻擊監(jiān)測(cè)崩潰監(jiān)測(cè)行為分析漏洞監(jiān)測(cè)盜版監(jiān)測(cè)安全預(yù)警應(yīng)急響應(yīng)34乙方:

提供全流程安全保障-

產(chǎn)品與服務(wù)安全與業(yè)務(wù)融合、

一站式產(chǎn)品服務(wù)全網(wǎng)監(jiān)測(cè)對(duì)全國(guó)范圍內(nèi)的移動(dòng)應(yīng)用進(jìn)行安全監(jiān)測(cè)分析和預(yù)警一經(jīng)發(fā)現(xiàn)移動(dòng)應(yīng)用存在違法違規(guī)的行為,立

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論