2024移动安全技术及窃密防护.docx
移动安全技术及窃密防护2024能手机终端23.3亿用途游戏10占网民总量82.2%九成以上是AndroidZiOS2014-2018年全国移动用户规模838:689-2014年2015年2016年2017年2018年10.00%800002014-2018年中国移动互联网市场规模765478.00%6.00%4.00%2.00%0.00%600004002000013437.76054230794.61K7202014年2015年2016年2017年2018年140.00%120.00100.0080.00%60.00%40.00%20.00%0.00%移动用户规模:亿Tl-增长率将营业规模:亿元T-环比增长率%移动APP高速增长移动应用数量统计截至2018年5月,我国本土第三方应用商店安卓移动应用累计数量达到款,苹果商店移动应用累计数量约款,而官方尚未进入我国市场的谷歌商店移动应用累计数量约款。APP分发渠道百花齐放O国外只有有第三方应用市场下载站、论坛手机应用管理厂商全国渠道市场共有家,北上广占比手机制造商电信运营商GooglePlay漏洞数量对比20095 20101 20119 20128201372014132015125 2016523 20178422018453手机系统漏洞依然严峻iOS与AndrOid3873871611927323711212296125 20071 20089200927 201032 201137 201211220139620141222015387 2016161 20173872018125高危漏洞中危漏洞低危漏洞图5二季度高危应用漏洞等级分布移动APP安全岌岌可危据通付盾移动安全监测平台数据显示款APP存在已知高危安全漏洞,移动应用高危漏洞正在明显增多,高危漏洞容易被黑客攻击利用,造成、等安全风险。 未移除有风险的WebVieW系统院藏接口27.89% WebVieW远程代码执行安全18.33% WebVIew组件忽略SS1.证书验证错误漏洞15.93% 固定端门监听风险15.33% 1.Og记录安全6.14% SharedPreferences加密存储安全5.08% SharedPreferenCeS读写安全4.00% SS1.中间人攻击安全1.64% DebUg安全1.22% 其他4.45%图6二季度高危应用漏洞类型分布移动A叩建设单位、运营单位应当国外移动APP安全情况的APP没能通过基线安全测试,的APP存在4个以上安全漏洞。78%RemoteCodeExecutionThroughJavascnptlnterface57%44%44%BrokenTrustManagerforSS1.48%Application1.ogsBrokenhostnameverifierforSS1.InsufficientTransport1.ayerProtectionTOP5THREATSG1.OBA1.1.YDETECTED数据来源APPknOx:检测样本来自美国、英国、澳大利亚、新加坡、印度TOP500电子商务类APP移动互联网黑产肆虐2014-2017年,手机木马病毒感染用户及人均损失恶意软件多种传播渠道63病毒作者网站/搜索210543.085.0111%9.24%22.51%1.960.2070.5570.947201420152016应用市场软件捆绑病毒感染用户数(亿)黑产人均损失(万元)刷流量(挖矿)日赚百万支付盗刷32万病毒推广费传播渠道病毒作者推广费广告流量分成手机用户钓鱼界面手机恶意软件1.881.7511.25%17.34%20171237%16.29%传播渠道病毒作者手机用户勒索界面手机资源站手机论坛网盘传播二维码RoM内置恶意勒索黑色收入超千万推广泰解螭用传播渠道手机用户安全不佳。数据泄漏屡见不鲜FaCebook再曝数据丑闻:fceboo1.2亿用户数据面临泄露风险W航旅纵横APP泄露航班乘客个人隐私信息露,2e用户期国家电网APP出现数据泄露涉及用户已超千万12306数据泄露原南曝光:手机APP漏洞导致“撞T-Mobile遭遇数据泄露,约200万用户受影响/数千款iOS/Android应用泄露了113GB数据第二方SDK导神4APP存在泄露篮宓PP藕制盘连锁蒯泄漏5亿条开房信息亢世纪佳缘官方APP存在SQ1.注入,550W+用户数据被泄露数据泄漏黑产标题内容创建时间12W炒股用户数据.沪A.深A-刚入手的的1,有12W户2,信息格式用户姓名+联系方式+资金账户号+沪A证券号+深A证券号+三方存管银行归属3,需要的买,2018-10-31自动发货讲的很清楚了易复制资源,恕不退款!有问题及时沟通,咨询!03:46:00清华总裁班通讯录+清华21期1,清华总裁班一个文档有两个表格,一个表格有1600人左右,一共3000+人清华总裁班开餐厅破产,2018-10-31MBA通讯录自动发货03:21:00独家华为内部通讯录自动发信息格式是英文名中文名所在团队一座机手机邮箱传真等等需要的拍,有问题及时咨询!易复制资源,恕不退货!2018-10-31货02:49:00各个城市的凤楼,一次给一个购买后私信我需要哪个城市很多为亲测有效0.0005一个城市的很全一天内回复!2018-10-31城市的基本包含当地城市01:26:00机特工备份同步支持所有安卓我们目前能做到的功能有:手机定位(手机经纬度、网络定位)短信、电话记录、电话录音、qq、微信聊天记录、随时录制屏幕、2018-10-30机器随时随地前置后置拍照、随时录音功能、图标隐藏。下面是操作图。以上功能只需要拿到对方前提下才能实现、特工私家侦探必23:12:00备、发现老公老婆婚外恋无法取证此款软件可以帮助到你们。Btc:0.07自动发货2元中彩网1.5万数出售彩票一手数据刚刚出库的,网站是2元购彩网的数据,包含用户名,姓名MD5密码,邮箱地址,部分有地址,出款银行,银行2018-10-30据10.30刚刚脱裤账号以及身份证号码,数据总共1.5万左右,整理到EXCE1.格式如下,一张实前面,一张实后面的20:17:00出售彩票数据10.30刚刚出库出售彩票数据10.30刚刚出库的,包含用户名,姓名MD5密码,邮箱地址,部分有地址,出款银行,银行账号以及身份证号码,先2018-10-30的到先得18:07:00社会调查网站5.8W用户资料社会调查网站5.8W用户资料用户名密码邮箱手机号2018-10-3017:36:00出一Ioe)W条左右上海机关单出一100W条上海机关单位人员信息,这是第一部分第二部分也请在数据专区找,那一份80W条左右虚拟不可逆资源,拍前考虑清2018-10-30位人员信息楚是否需要,出链接失效(可回信补链接)外,概不退款拍下自动显示下载地址17:19:00移动互联网安全趋势形势严峻,山寨应用混淆视听,严重侵害广大壬机网民日常生活。不法分子开始利用移动应用从事、等违法犯罪活动。移动应用重功能,轻安全,导致频发,防护能力弱,APP成为数据泄露新主体。移动互联网安全形势1移动安全窃密场景演不移动安全的思考与建议移动安全窃密场景分析智能手机安全区域恶意攻击人员7.山寨仿攻击1.中南人窃密4.恶意软件窃密智能手机攻击粗心的用户应用市电。rzr土、.攻击文件APPSD卡3.APF3G4GWi-Fi网络上的恶意攻击人员服务器安全区域攻击攻击文件攻击USB史调盅所有用户信息恶意人员可以通过网络(局域网或Wi-Fi)来嗅探(访问)APP与服务器之间通信的任何信息(敏感数据),或者试图修改信息(数据操作)。15窃密演示一:中间人窃密手机APP程序使用账号密码到服务器验证,本视频利用BIJrPSUite抓包。账号密码的丢失会导致用户个人信息泄露,甚至可能造成财产损失。窃密场景二:恶意软件窃密智能手机用户可以免费下载APP应用,有时也会错误地安装恶意软件。恶意软件有可能会利用程序间通信功能或程序内部的漏洞,来实现窃密目的。窃密演示二:界面劫持1.server.py(Pytho* ServingFlaskapp"server"(lazyloading)* Environment:productionUseaproductionWSGIserverinstead.* Debugmode:on* Runningonhttp:/0.0.0.0:5000/(PressCTR1.+Ctoquit)* Restartingwithstat* Debuggerisactive!* DebuggerPIN:676-924-156通常恶意APP会捆绑官方APP,被打包下载,并静默安装到手机。恶意软件,并在用户打开官方APP时,。当用户在被覆盖的页面输入个人信息时,恶意APPo窃密场景三:APP漏洞利用如果APP应用存在文件处理功能上的漏洞,恶意人员可以使用恶意文件来利用它并访问应用的敏感信息,一旦被打开,它将利用应用的漏洞产生严重破坏。窃密演示三:ZiPPerDoWn漏洞漏洞原理:第三方ZiP库在解压ZiP文件过程中,从而产生了目录穿越漏洞,导致QS应用订阚按季度订阅微博会员用于微博½Z微博会员幅特权&三100:0101:19蓝光,并且使用ZiParehiVe库解压,利用漏洞可以做到appcontainer目录下的任意文件覆盖,造成、的风险。窃密场景调试注入恶意人员利用手机终端的ADB调试功能可以分析APP应用,并获得应用信息或功能的访问权限。我们需要注意合法手机用户也可以恶意地窃取应用里的敏感信息。窃密演示四:APP注入MCUft<MjurbMHcnaMrruMcZOfiOURfMk1.”)ttaOBChMfM*2l一,。MdFhyUJiGmotetMyXMtfflrau0OCwXf<rMfMM14M.*MM.batalWCWpreferMcei.H.4UerfvttjrbMCb8btOMQI.COflMOA.COTV1、通过逆向分析等方式对该APP进行破解,获取该APP的关键实现逻辑,找到输入卡号和密码等关键函数的调用位置;2、用Xp。Sed等框架进行恶意代码注入,会在用户输入卡号和密码时进行劫持窃取;3、将获取到的用户名和密码发送到黑客服务器上。Htart)9*vEftr*tombWM*窃密场景五:APP逆向破解恶意人员通过AndrOidkiiIer、JEB、JadX等逆向工具进行反编译后查看源代码,通过一定的特征追踪到程序关键处,对关键处进行分析或是爆破以达到破解的目的。BurpIntruderRepeaterWindowHelpI(TargetjProxySPiderSCannerIntrUderRePeaterSeqUerKaJDecoderJCOmParUrEXmndaPrOjeCtOPtiOmUserOPtiomJAIertSInSrCeplHTTPPSKXyWebSOCketShistoryOPHomForwardDropInterceptoffRawParamsHeadersHex1、使用任意用户号码尝试登陆APP,提示密码错误,更改手机号后提示未注册;2、通过逆向分析获取登陆功能的实现逻辑及关键密钥;3、根据逆向分析结果编写自动化脚本,实现对该APP用户集的遍历,从而获取注册该平台的用户账号信息。获取用户账号信息后,可进一步通过暴力破解得到用户密码等关键信息,从而劫持用户数据,甚至窃取用户钱包、银行卡信息等,造成用户的财产损失,同时造成企业商业机密泄露,影响企业声誉和资产安全。是将打包生成的APK文件装换成为汇编文件,并对其中的配置文件进行解码的过程。ArIdroid系统上常使用的工具apktoolo是指将反编译后的APK文件,进行篡改并重打包,重新生成APK文件,然后将生成的APK文件进行签名安装。窃密场景六:APP反编译和二次打包窃密演示六:二次打包支产)r,计装机>seam(c:)pktgsVCSE=名窗修改日期弊大小口血1.*¾5<2三EIMqBxm3?«,迅,下或J乐Kaaptexe匿pktool.bat巴pktoojarShuMengzpk阳Signapkbat士SignapkJar.tctkey-pk8tetkeyjc509.pem2012/12/6IiM2012/12/2323:392017/2/2714:242017/7316cl22017/7/131&S32011/5/131542008/11/S15:172008/11/515:170«建字WindowsRtiJtS.ExecutableJarRle川”文件dW5枇处理,.ExecutableJarFilePK8文件PeM文件834KB1K86.810KB27.655KBIKB8KB2KB2KB0计首机C1.=©JIKn(F:)I<*(<)Je真也()员Nexus5产珞里蝶包会更ge,共摹JHS新欢田夫点击变呆VlPKK录像机全展模式:1920«10Jt的录像体商00:00:05*5三?-×Wea袂费25二次打包植入恶意代码后,APP的性能、用户体验和外观都跟原版APP一样,但它悄悄运行着其他恶意程序,轻者消耗流量,重则恶意扣费、偷窥隐私等。8个诩欣apktool反编译apk文件Sign叩k为修改好的apk文件签名窃密场景七:山寨仿冒是指未经版权所有人同意或授权的情况下,通过盗用正版应用的、仿冒知名、盗用正版等方式对正版应用进行仿冒,再上架到移动应用市场的移动应用程序。应用名称版本号所属市场页面地址手机淘宝手机淘宝3.0安贝市场http:3.0安卓之家手机淘宝3.0安粉矶钓http:WWW.appfu11cnappinfoappidIl307项目布应用相关信息正版应用相关信息MD5值c923169el4fecf89b055efff4aab753d图标圆名字手机淘宝手机淘宝大小0.93MB38.33MB版本3.05.5.0包名com.zlsjtb.modelcom.taobao.taobao签名证书信息CN=iwnfeOU=ie&0=ing&1.=ot&ST=Wn&C=cnCN=taobao&0U=taobao0=taobao&1.=hangzhou&ST=zhejiang&C=CN:。:Vj13:0227匕窃密演示七:仿冒微信通过仿冒正版微信的、等,骗取用户微信。移动互联网安全形势移动安全窃密场景演不网络通信安全服务端APl安全 HTTP明文传输 HTTPS中间人劫持暴力破解密码 SeSSion重放 SQ1.注入 拒绝服务移动APP安全威胁总结APP程序安全运行环境安全 身份认证绕过 二次打包植入代码(病毒、广告) 动态调试修改内存数据 界面劫持钓鱼 Root环境/模拟器 已安装XPc)Sed、cydia等攻击插件框架 手机存在病毒/木马防逆向破解防调试注入界面防劫持智能手机安全区域ZIkJ智能手机一F终端威胁感知运行环境监测恶意攻击监测程序崩溃监测3G4GWi-FiIX/通信血议加密通信数据加密Web服务WEB防火墙(WAF)自适应保护(RASP)防止撞库破解防止批量注册业务风险控制一/二敏感数据安全保护rJHl11Xv/PU(防火墙、蜜罐、APl鉴权等)所有用户信息口密本地网muSQ1.ite数据库加密SharePre数据加密多方共建移动安全环境产品合规全生命周期乙方全流程保障监管方技管并重甲方:做好全生命周期安全-从源头抓起业界最佳实践DevSecOps开发安全运营一体化:.SeceContinuousDelivery>乙方:提供全流程安全保障产品与服务设计咨询开发咨询上线保护运行监测运营保障测测警应监监预响洞版全急漏盗安应S-SD1.规范安全培训编码规范源码审计渗透测试安全加固安全组件上线评估监管:采取全方位监测布控-技管并重中华人民共和国网络安全法含草害说朗全网监测对全国范围内的移动应用进行安全监测分析和预警网络安全等级保护条例(征求意见稿)目录第一童A则第二才支持与ff第三款网络的安全保护-5-第四*溶盟网脩的安全保护-13-第五景密码W3-15-第六款KMtS-17-第七童法律贵任-21-第八注W则-23-一经发现移动应用存在违法违规的行为,立即通报下架和处置违规管控对涉及重大事件的移动应用从分发渠道、开发人员追溯责任溯源打击移动安全监测平台技术实时监测全国应用分发T1渠道,采集与移动应用相关的各类信息通过自动化检测引擎,分析应用安全漏洞、恶意行为及违规内容Il针对发现的恶意行为,通过大数据引擎分析判定相似度及来源高危漏洞、病毒木马、违规信息等关键安全趋势分析,及时预警全网应用库(AppBase)全部应用分发渠道运营商网络ChinaUniCOm中国联通三s三三三云iff