海雲安帶你解讀移動金融APP安全報告

移動 APP 安全行業現狀與導讀

移動 APP 已逐步滲透入咱們的生活，據統計，2016年，APP 發行數量僅電商、金融、遊戲這三大類共計高達2萬左右，國內移動互聯網活躍用戶數已經突破10億，移動互聯網這樣快速的推移，移動互聯網的安全問題更爲嚴峻。

金融行業App安全現狀概述

據統計，2015年金融行業移動 APP 用戶約爲8億，2016年用戶約增加至10億。

金融行業移動 APP 受漏洞影響如圖所示

高危佔比23%：數據傳輸不安全致使盜取用戶錢財損害平臺利益。

中危佔比40%：用戶敏感信息泄露，應用被重打包後加入惡意代碼和廣告。

低危佔比37%：應用崩潰，APP主要邏輯被逆向。

支付安全問題位列金融行業移動 APP 安全問題之首。

安全問題種類繁多，但其到底是如何給廣大 APP 用戶形成危害的，咱們選取一枚案例共同深刻分析。

 

案例說話

1 客戶端與服務器傳輸安全

中間人攻擊原理：中間人攻擊主要發生在客戶端與服務器通訊過程當中，黑客利用網絡協議的漏洞，進行數據監聽數據竊取以及數據篡改等違法行爲。

正常通訊過程以下所示 ：

在android的https協議中，若自定義的X509TrustManager不校驗證書或實現的自定義HostnameVerifier不校驗域名接受任意域名，就會觸發中間人攻擊漏洞。

非正常通訊過程以下圖所示：

析發現大部分銀行和理財類APP，都存在此漏洞。

某銀行 APP 反編譯代碼截圖

 

2 用戶輸入數據傳輸安全

用戶手機若是 root過，病毒軟件就能夠經過監聽系統鍵盤或第三方輸入法等方式來獲取用戶輸入的信息，並轉發到不法分子手中。

著名漏洞平臺上曾經曝光過著名輸入法的輸入漏洞。

某電商 APP 鍵盤記錄漏洞

 

3 本地數據安全

安卓 Shared Preferences 本地存儲方式是開發者經常使用的存儲本地信息的方式，但在 root 過的手機上，黑客能夠輕鬆查閱這些明文保存的信息。

而 android 自帶的 SQLite 數據庫，也是以明文的形式存儲在本地文件中的。黑客一樣能夠在 root 過的手機中查看這些信息。

手機裏存儲的明文文件

 

海雲安建議：

海雲安建議：APP應用漏洞致使的我的信息泄漏已經成爲了目前網絡信息詐騙的主要渠道之一，APP的開發者及運營者需提升對APP安全性的重視程度，可使用系列海雲安安全服務進行檢測及加固保護， 同時除了從執法層面來監督衆多網絡運營企業積極履行保護公民我的信息安全的法律責任外，公民我的也需提升信息安全防範意識，不要隨意泄漏我的信息等。相信隨着後續相應法律法規的不斷完善實施、各項安全防禦技術方案的逐步推廣應用，我國的我的信息安全現狀將獲得大幅度改善提升！