移動APP安全行業現狀與導讀

　　移動APP已逐步滲透入我們的生活，據統計，2016年，APP 發行數量僅電商、金融、游戲這三大類共計高達2萬左右，國內移動互聯網活躍用戶數已經突破10億，移動互聯網這樣快速的推移，移動互聯網的安全問題更為嚴峻，基于騰訊云樂固和騰訊平臺的大數據分析，整個移動應用開發者所面臨的安全問題主要涉及面有終端漏洞威脅，應用重打包威脅，應用仿冒威脅。

　　本移動APP安全行業報告將對金融、電商、游戲三大重災區行業進行舉例分析并配以圖表說明，還原移動 APP 安全行業本貌。本期來看金融篇。

　　金融行業App安全現狀概述

　　據統計，2015年金融行業移動 APP 用戶約為8億，2016年用戶約增長至10億。

　　金融行業移動 APP 受漏洞影響如圖所示

　　高危占比23%：數據傳輸不安全導致盜取用戶錢財損害平臺利益。

　　中危占比40%：用戶敏感信息泄露，應用被重打包后加入惡意代碼和廣告。

　　低危占比37%：應用崩潰，APP主要邏輯被逆向。

　　支付安全問題位列金融行業移動 APP 安全問題之首。

　　安全問題種類繁多，但其究竟是如何給廣大 APP 用戶造成危害的，我們選取一枚案例共同深入分析。

　　案例說話

　　1 客戶端與服務器傳輸安全

　　中間人攻擊原理：中間人攻擊主要發生在客戶端與服務器通信過程中，黑客利用網絡協議的漏洞，進行數據監聽數據竊取以及數據篡改等違法行為。

　　正常通信過程如下所示 ：

　　在android的https協議中，若自定義的X509TrustManager不校驗證書或實現的自定義HostnameVerifier不校驗域名接受任意域名，就會觸發中間人攻擊漏洞。

　　非正常通信過程如下圖所示：

　　樂固團隊分析發現大部分銀行和理財類APP，都存在此漏洞。

某銀行 APP 反編譯代碼截圖

　　2 用戶輸入數據傳輸安全

　　用戶手機如果 root過，病毒軟件就可以通過監聽系統鍵盤或第三方輸入法等方式來獲取用戶輸入的信息，并轉發到不法分子手中。

　　著名漏洞平臺上曾經曝光過著名輸入法的輸入漏洞。

某電商 APP 鍵盤記錄漏洞

　　3 本地數據安全

　　安卓 Shared Preferences 本地存儲方式是開發者常用的存儲本地信息的方式，但在 root 過的手機上，黑客可以輕松查閱這些明文保存的信息。

　　而 android 自帶的 SQLite 數據庫，也是以明文的形式存儲在本地文件中的。黑客同樣可以在 root 過的手機中查看這些信息。

手機里存儲的明文文件

責任編輯：韓希宇