海云安带你解读移动金融APP安全报告
2017-10-19 15:37
316 查看
移动 APP 安全行业现状与导读
移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻。
金融行业App安全现状概述
据统计,2015年金融行业移动 APP 用户约为8亿,2016年用户约增长至10亿。
金融行业移动 APP 受漏洞影响如图所示
高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。
中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。
低危占比37%:应用崩溃,APP主要逻辑被逆向。
支付安全问题位列金融行业移动 APP 安全问题之首。
安全问题种类繁多,但其究竟是如何给广大 APP 用户造成危害的,我们选取一枚案例共同深入分析。
案例说话
1 客户端与服务器传输安全
中间人攻击原理:中间人攻击主要发生在客户端与服务器通信过程中,黑客利用网络协议的漏洞,进行数据监听数据窃取以及数据篡改等违法行为。
正常通信过程如下所示 :
在android的https协议中,若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名,就会触发中间人攻击漏洞。
非正常通信过程如下图所示:
析发现大部分银行和理财类APP,都存在此漏洞。
[b]某银行 APP
反编译代码截图
[/b]
2 用户输入数据传输安全
用户手机如果 root过,病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息,并转发到不法分子手中。
著名漏洞平台上曾经曝光过著名输入法的输入漏洞。
[b]某电商
APP 键盘记录漏洞
[/b]
3 本地数据安全
安卓 Shared Preferences 本地存储方式是开发者常用的存储本地信息的方式,但在 root 过的手机上,黑客可以轻松查阅这些明文保存的信息。
而 android 自带的 SQLite 数据库,也是以明文的形式存储在本地文件中的。黑客同样可以在 root 过的手机中查看这些信息。
手机里存储的明文文件
海云安建议:
海云安建议:APP应用漏洞导致的个人信息泄漏已经成为了目前网络信息诈骗的主要渠道之一,APP的开发者及运营者需提高对APP安全性的重视程度,可以使用系列海云安安全服务进行检测及加固保护,
同时除了从执法层面来监督众多网络运营企业积极履行保护公民个人信息安全的法律责任外,公民个人也需提高信息安全防范意识,不要随意泄漏个人信息等。相信随着后续相应法律法规的不断完善实施、各项安全防护技术方案的逐步推广应用,我国的个人信息安全现状将得到大幅度改善提高!
相关文章推荐
- 海云安带你解读移动金融APP安全报告
- 报告解读|云安全大考,数据安全如何脱颖而出?
- (最新)移动App应用安全漏洞分析报告 !
- 安全测试报告解读
- APP安全报告第九期:资讯类APP安全性极低,用户数据可能因此而泄漏!
- AppScan安全漏洞报告
- APP安全报告第三期:您关心P2P理财交易平台的安全性吗?
- APP安全报告第十期:部分美图类APP存在窃取用户隐私数据的风险!
- IBM AppScan 安全扫描报告中部分问题的解决办法
- AppScan安全漏洞报告
- APP安全报告第四期:如果共享单车APP会泄漏敏感信息,你还会用吗?
- APP安全报告第五期:盗版天气应用程序肆意窃取银行用户信息,你中招了吗?
- AppScan安全漏洞报告
- [技术交流] [经验交流] (最新)移动App应用安全漏洞分析报告 !
- APP安全报告第十二期:阅读APP存在泄漏隐私数据的风险,你不担心么?
- 海云安:利益博弈,APP安全漏洞背后的攻防交锋
- APP安全报告第八期:保护用户的隐私数据,网约车你做到了吗?
- 腾讯云安全:移动 APP 安全行业报告
- AppScan安全漏洞报告
- APP安全报告第十五期:音乐APP的安全性极低,用户信息存在泄露风险!