移動APP安全行業報告金融篇

移動 APP 安全行業現狀與導讀

移動 APP 已逐步滲透入我們的生活，據統計，2016年，APP 發行數量僅電商、金融、遊戲這三大類共計高達2萬左右，國內移動互聯網活躍用戶數已經突破10億，移動互聯網這樣快速的推移，移動互聯網的安全問題更為嚴峻，基於騰訊雲樂固和騰訊平台的大數據分析，

整個移動應用開發者所面臨的安全問題主要涉及面有終端漏洞威脅，應用重打包威脅，應用仿冒威脅。

本移動 APP 安全行業報告將對金融、電商、遊戲三大重災區行業進行舉例分析並配以圖表說明，還原移動 APP 安全行業本貌。

本期來看金融篇。

金融行業App安全現狀概述

據統計，2015年金融行業移動 APP 用戶約為8億，2016年用戶約增長至10億。

金融行業移動 APP 受漏洞影響如圖所示

高危佔比23%：

數據傳輸不安全導致盜取用戶錢財損害平台利益。

中危佔比40%：

用戶敏感信息泄露，應用被重打包後加入惡意代碼和廣告。

低危佔比37%：

應用崩潰，APP主要邏輯被逆向。

支付安全問題

安全問題種類繁多，但其究竟是如何給廣大 APP 用戶造成危害的，我們選取一枚案例共同深入分析。

案例說話

1

客戶端與伺服器傳輸安全

中間人攻擊原理：中間人攻擊主要發生在客戶端與伺服器通信過程中，黑客利用網路協議的漏洞，進行數據監聽數據竊取以及數據篡改等違法行為。

正常通信過程如下所示 ：

在android的https協議中，若自定義的X509TrustManager不校驗證書或實現的自定義HostnameVerifier不校驗域名接受任意域名，就會觸發中間人攻擊漏洞。

非正常通信過程如下圖所示：

樂固團隊分析發現大部分銀行和理財類APP，都存在此漏洞。

某銀行 APP

2

用戶輸入數據傳輸安全

用戶手機如果 root過，病毒軟體就可以通過監聽系統鍵盤或第三方輸入法等方式來獲取用戶輸入的信息，並轉發到不法分子手中。

著名漏洞平台上曾經曝光過著名輸入法的輸入漏洞。

某電商 APP

3

本地數據安全

安卓 Shared Preferences 本地存儲方式是開發者常用的存儲本地信息的方式，但在 root 過的手機上，黑客可以輕鬆查閱這些明文保存的信息。

而 android 自帶的 SQLite 資料庫，也是以明文的形式存儲在本地文件中的。

黑客同樣可以在 root 過的手機中查看這些信息。

手機里存儲的明文文件

解決方案

騰訊雲樂固推出一套完善的移動金融安全解決方案。

移動 APP 安全行業安全問題詳細解決方案可點擊鏈接：

*本文作者：雲鼎實驗室（企業賬號），轉載請註明來自FreeBuf.COM