(金融行業(yè)移動(dòng) APP 受漏洞影響如圖所示)

?

高危占比23%:數(shù)據(jù)傳輸不安全導(dǎo)致盜取用戶錢財(cái)損害平臺(tái)利益。

中危占比40%:用戶敏感信息泄露,應(yīng)用被重打包后加入惡意代碼和廣告。

低危占比37%:應(yīng)用崩潰,APP主要邏輯被逆向。

2

支付安全問(wèn)題位列金融行業(yè)移動(dòng) APP 安全問(wèn)題之首。

3

安全問(wèn)題種類繁多,但其究竟是如何給廣大 APP 用戶造成危害的,我們選取一枚案例共同深入分析。

?

金融行業(yè)移動(dòng) APP 所遇到的安全問(wèn)題

案例說(shuō)話

1.客戶端與服務(wù)器傳輸安全

中間人攻擊原理:中間人攻擊主要發(fā)生在客戶端與服務(wù)器通信過(guò)程中,黑客利用網(wǎng)絡(luò)協(xié)議的漏洞,進(jìn)行數(shù)據(jù)監(jiān)聽數(shù)據(jù)竊取以及數(shù)據(jù)篡改等違法行為。

正常通信過(guò)程如下所示 :

5

androidhttps協(xié)議中,若自定義的X509TrustManager不校驗(yàn)證書或?qū)崿F(xiàn)的自定義HostnameVerifier不校驗(yàn)域名接受任意域名,就會(huì)觸發(fā)中間人攻擊漏洞。

非正常通信過(guò)程如下圖所示: ? ??

6

樂(lè)固團(tuán)隊(duì)分析發(fā)現(xiàn)大部分銀行和理財(cái)類APP,都存在此漏洞。

7

(某銀行 APP?反編譯代碼截圖)

?

2.用戶輸入數(shù)據(jù)傳輸安全

用戶手機(jī)如果 root過(guò),病毒軟件就可以通過(guò)監(jiān)聽系統(tǒng)鍵盤或第三方輸入法等方式來(lái)獲取用戶輸入的信息,并轉(zhuǎn)發(fā)到不法分子手中。

著名漏洞平臺(tái)上曾經(jīng)曝光過(guò)著名輸入法的輸入漏洞。

1

(某電商 APP?鍵盤記錄漏洞)

?

3.本地?cái)?shù)據(jù)安全

安卓 Shared Preferences 本地存儲(chǔ)方式是開發(fā)者常用的存儲(chǔ)本地信息的方式,但在 root 過(guò)的手機(jī)上,黑客可以輕松查閱這些明文保存的信息。

android 自帶的 SQLite 數(shù)據(jù)庫(kù),也是以明文的形式存儲(chǔ)在本地文件中的。黑客同樣可以在 root 過(guò)的手機(jī)中查看這些信息。

1

(手機(jī)里存儲(chǔ)的明文文件)

?

金融行業(yè)移動(dòng) APP 安全問(wèn)題

解決方案

1.安全支付解決方案

采用高強(qiáng)度的加密鍵盤,嚴(yán)格的雙認(rèn)證傳輸通道,從輸入層到傳輸層保護(hù)了每一筆交易每一次數(shù)據(jù)傳輸?shù)陌踩?/span>

2.本地安全存儲(chǔ)方案

對(duì)本地文件進(jìn)行加密保護(hù)。防止本地文件被竊取盜用的風(fēng)險(xiǎn)。

3.高級(jí) APP 安全防護(hù)方案

能在 APP 代碼層面進(jìn)行加密加花,可防破解,防盜版,防注入,防調(diào)試等。

4.安全身份認(rèn)證體系

專為金融客戶量身打造,包括人臉核身,短信認(rèn)證等多重方案。可幫助金融客戶在身份認(rèn)證這一層打擊不法分子。

?

電商行業(yè)移動(dòng) APP安全

現(xiàn)狀概述

2016年移動(dòng)電商APP總用戶數(shù)量約6.3億,其中約2.7億用戶遭受過(guò)不同程度安全問(wèn)題,占比約43%

1.jpg

(電商行業(yè)移動(dòng) APP 受漏洞影響如圖所示)

?

高危占比14%:數(shù)據(jù)傳輸不安全導(dǎo)致用戶訂單泄露、篡改。

中危占比55%:本地?cái)?shù)據(jù)存儲(chǔ)不安全、用戶隱私泄露。

低危占比29%APP 業(yè)務(wù)邏輯被破解、算法剽竊。

1

支付安全問(wèn)題依舊位列電商行業(yè)移動(dòng) APP 安全問(wèn)題之首,而被“薅羊毛”問(wèn)題當(dāng)屬電商行業(yè)移動(dòng) APP 安全問(wèn)題的代表。

本篇報(bào)告我們針對(duì)電商行業(yè)移動(dòng) APP 代表性安全問(wèn)題——被“薅羊毛”共同深入分析。

?2

電商行業(yè)移動(dòng) APP 所遇安全問(wèn)題

圖示說(shuō)話

與傳統(tǒng)零售相比,用戶網(wǎng)購(gòu)體驗(yàn)流程區(qū)別較大,基本遵循下圖所示的網(wǎng)購(gòu)流程。

01

?網(wǎng)購(gòu)流程圖)

?

每一個(gè)環(huán)節(jié)都可能引致重大的安全問(wèn)題,電商 APP 也不例外。下面談?wù)劸W(wǎng)購(gòu)流程中較容易出現(xiàn)安全問(wèn)題的三個(gè)環(huán)節(jié):

1.賬號(hào)注冊(cè)登錄

電商 APP 的使用流程中,注冊(cè)登錄過(guò)程都可以通過(guò)一些自動(dòng)化工具來(lái)完成——批量注冊(cè)賬號(hào)、掃號(hào)?!把蛎h”們則利用了這一點(diǎn),?刷取了大量的活動(dòng)資源。因此,電商APP賬號(hào)注冊(cè)登錄系統(tǒng)則是電商平臺(tái)打擊黑產(chǎn)以及薅羊毛的第一道防線。

1

(“羊毛黨”們批量注冊(cè)、掃號(hào)流程圖)

PS:掃號(hào)是指使用掃號(hào)器對(duì)賬號(hào)、密碼進(jìn)行批量驗(yàn)證。

2.商品瀏覽

移動(dòng)電商行業(yè)中,商家通過(guò)“平臺(tái)活動(dòng)”吸引用戶、促進(jìn)銷量。而“羊毛黨”則是通過(guò)“強(qiáng)占”商家的這種優(yōu)質(zhì)資源并轉(zhuǎn)手真正的用戶來(lái)謀利。損害了商家與用戶的雙向權(quán)益。

2

(薅羊毛關(guān)系鏈)

3.訂單支付

支付系統(tǒng)是電商 APP 必不可少的一個(gè)模塊,涉及到用戶的賬戶密碼、資金安全。用戶在 APP 上支付時(shí),數(shù)據(jù)如果不做有效保護(hù),隨時(shí)會(huì)被不法分子利用。?

?

電商行業(yè)移動(dòng) ?APP 所遇安全問(wèn)題

案例說(shuō)話

?

國(guó)內(nèi)著名移動(dòng)運(yùn)營(yíng)商遭黑卡薅羊毛,流量平臺(tái)一月被搶8.2萬(wàn)G

20161210日至201716日期間,某運(yùn)營(yíng)商的“有獎(jiǎng)答題”營(yíng)銷活動(dòng)被羊毛黨瘋狂利用,導(dǎo)致活動(dòng)開始時(shí)網(wǎng)頁(yè)崩潰,活動(dòng)福利一搶而空。

參考鏈接:

http://tech.qq.com/a/20161214/003524.htm

?

上述案例全過(guò)程分析

1.薄弱環(huán)節(jié):無(wú)法鑒別真實(shí)用戶

爆發(fā)這場(chǎng)“薅羊毛”大戰(zhàn)的技術(shù)原因在于運(yùn)營(yíng)商(客戶端APP、APP后臺(tái))無(wú)法有效識(shí)別出哪些是真實(shí)用戶、哪些是羊毛黨,也就是缺少圖中所示的強(qiáng)大、高效的用戶身份鑒別模塊。

1.jpg

(身份鑒別模塊作用示意圖)

?

2.突破關(guān)鍵:手機(jī)號(hào)驗(yàn)證已經(jīng)不是門檻

為提高注冊(cè)用戶身份的真實(shí)性、過(guò)濾出高價(jià)值用戶以及防止惡意注冊(cè)、掃號(hào),案例中的運(yùn)營(yíng)商使用了短信驗(yàn)證碼。為此,如何突破短信驗(yàn)證碼就成為薅羊毛的關(guān)鍵一步。如下圖手機(jī)打碼關(guān)系鏈圖。

1

(手機(jī)打碼關(guān)系鏈)

?

3.“薅羊毛”的產(chǎn)業(yè)鏈:分工有序

整個(gè)“薅羊毛”有著完備、成熟的產(chǎn)業(yè)體系。羊毛黨們經(jīng)過(guò)精心的準(zhǔn)備,接下來(lái)的攻擊和套現(xiàn)就變得簡(jiǎn)單化、便捷化。羊毛黨們利用打碼平臺(tái)和卡商提供的海量手機(jī)號(hào)以及提供的打碼服務(wù)在運(yùn)營(yíng)商的流量平臺(tái)上批量注冊(cè)賬號(hào),并用注冊(cè)到的賬號(hào)采用自動(dòng)化的軟件參與運(yùn)行商的“有獎(jiǎng)答題”活動(dòng)。整個(gè)薅羊毛關(guān)系鏈暴露出這樣的核心問(wèn)題:?jiǎn)渭円罁?jù)手機(jī)號(hào)碼來(lái)鑒別用戶已不足以滿足電商 APP 被“薅羊毛”的安全需求??纯春诋a(chǎn)在這個(gè)方向的專業(yè)分工:

01

(“薅羊毛”過(guò)程圖示)

?

電商行業(yè) APP 安全問(wèn)題

解決方案

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展,網(wǎng)購(gòu)已經(jīng)成為居民生活消費(fèi)不可獲取的重要部分。除了移動(dòng)應(yīng)用通用安全問(wèn)題外,電商 APP 在業(yè)務(wù)安全方面存在的問(wèn)題較大,騰訊云樂(lè)固針對(duì)電商 APP 提供了定制的安全解決方案。

1.支付安全解決方案

采用高度定制的安全鍵盤,嚴(yán)格的雙認(rèn)證傳輸通道,確保輸入數(shù)據(jù)安全以及輸入層到傳輸層的數(shù)據(jù)安全,有效防止截屏、輸入信息竊取等威脅。

2.應(yīng)用安全解決方案

樂(lè)固安全產(chǎn)品在源碼、資源文件、運(yùn)行時(shí)內(nèi)存、逆向破解等方面對(duì)電商 APP 進(jìn)行全方位保護(hù)。

3.業(yè)務(wù)安全解決方案

APP 集成短信驗(yàn)證碼安全 SDK,與騰訊云樂(lè)固&天御防刷后臺(tái)配合,有效防止批量注冊(cè)、掃號(hào)以及“薅羊毛”等惡意行為,避免企業(yè)被刷帶來(lái)的巨大經(jīng)濟(jì)損失。

02

(多維度聯(lián)合防刷防薅)

?

小結(jié)

對(duì)抗“羊毛黨”,根源上是識(shí)別用戶是否真實(shí),是否可靠。電商平臺(tái)需從多維度去鑒別、過(guò)濾。

?

游戲行業(yè)移動(dòng) APP安全

現(xiàn)狀圖示

據(jù)統(tǒng)計(jì),2016年游戲類移動(dòng) APP 款數(shù)約2.6萬(wàn),2015年游戲類移動(dòng) APP 款數(shù)約1.5萬(wàn),2016年相比2015年增長(zhǎng)約73%。

03

(游戲行業(yè)移動(dòng) APP 受漏洞影響如圖所示)

?

高危占比29.9%:游戲客戶端與服務(wù)器數(shù)據(jù)傳輸不安全導(dǎo)致游戲數(shù)據(jù)可篡改、可泄露等;

中危占比29.2%:游戲客戶端本地存檔數(shù)據(jù)未加密,導(dǎo)致存檔可篡改、隱私泄露;

低危占比40.9%:應(yīng)用內(nèi)存在部分邏輯不嚴(yán)謹(jǐn),導(dǎo)致在某些情況下應(yīng)用崩潰。

04

APP 破解問(wèn)題位列游戲行業(yè)移動(dòng) APP 安全問(wèn)題之首。

05

?

游戲行業(yè)移動(dòng) APP 安全問(wèn)題

案例說(shuō)話——重打包

如同傳統(tǒng)的互聯(lián)網(wǎng)黑產(chǎn)一樣,手機(jī)游戲黑產(chǎn)主要目的是獲取非法收益,其手法多種多樣,主要包括插入惡意代碼、插入廣告、破解等。

首先,插入惡意代碼主要的方法是黑客對(duì)下載的游戲安裝包進(jìn)行反編譯,在其中加入惡意代碼,再將游戲重新打包為安裝包,進(jìn)行二次發(fā)布。相對(duì)于原始游戲應(yīng)用,插入惡意代碼的游戲應(yīng)用可以進(jìn)行惡意扣費(fèi)、讀取用戶的隱私數(shù)據(jù)、破壞用戶的設(shè)備,極大損害游戲廠商與游戲玩家的利益;

其次,插入廣告作為獲取收入的最直接方式,經(jīng)常出現(xiàn)在手機(jī)游戲應(yīng)用中。普通用戶可能不知道這些廣告中大部分來(lái)自于“打包黨”的二次插入,“打包黨”們通過(guò)反編譯工具向應(yīng)用中插入廣告代碼與相關(guān)配置,再在第三方應(yīng)用市場(chǎng)、論壇發(fā)布;

最后,破解作為直接破壞游戲平衡性的最佳方法一直是游戲開發(fā)者深惡痛絕的一種安全問(wèn)題。眾所周知,很大一部分游戲的收入來(lái)自于游戲中出售的虛擬物品,而黑客可以使用反編譯的手段修改游戲邏輯代碼繞過(guò)付費(fèi)驗(yàn)證邏輯,達(dá)到不付費(fèi)即可體驗(yàn)游戲收費(fèi)功能的目的。這不僅損害了游戲廠商的利益,更破壞了整個(gè)游戲體系的平衡,對(duì)整個(gè)游戲運(yùn)營(yíng)系統(tǒng)是暴擊。

06

與此同時(shí),部分渠道被重打包的盜版游戲代碼內(nèi)除了游戲本身的邏輯代碼外還包含了一些發(fā)送短信的惡意代碼,相關(guān)的模塊在原始的正版應(yīng)用中并不存在,如下圖:

?10

游戲行業(yè)移動(dòng) APP 所遇安全問(wèn)題

案例說(shuō)話——外掛

外掛作為破壞游戲平衡性的常規(guī)手段對(duì)單機(jī)游戲與網(wǎng)絡(luò)游戲均具備較大的破壞力,對(duì)于單機(jī)游戲來(lái)說(shuō),外掛可以協(xié)助玩家以較低成本完成游戲,破壞游戲本身的平衡性與可玩性;對(duì)于網(wǎng)絡(luò)游戲來(lái)說(shuō),外掛在破壞游戲平衡性的同時(shí)也會(huì)增加服務(wù)器端的計(jì)算壓力。也正因?yàn)橥鈷鞂?duì)于游戲的破壞力驚人,外掛通常被游戲開發(fā)者、運(yùn)營(yíng)商認(rèn)定為主要安全問(wèn)題。

騰訊云樂(lè)固團(tuán)隊(duì)對(duì)市場(chǎng)上比較流行的一款消除類游戲進(jìn)行調(diào)查發(fā)現(xiàn),該游戲外掛以輔助工具的名義存在于各大游戲論壇中,其使用方法簡(jiǎn)單粗暴,并且配以圖文教程。其主要手段是提示消除路徑、增加道具使用次數(shù)、篡改消除單元排列,通過(guò)這些“輔助”方法,游戲難度大大降低,游戲平衡性蕩然無(wú)存。

下圖是篡改消除單元排列的效果圖:

?11

游戲行業(yè)移動(dòng) APP 安全問(wèn)題

解決方案

通過(guò)上文的分析可以看出,手游行業(yè)所存在的安全問(wèn)題主要包括重打包與外掛兩大類,騰訊云樂(lè)固推出一套完善的移動(dòng)游戲安全解決方案。

1.游戲反重打包解決方案

針對(duì)手機(jī)游戲行業(yè)中存在的插入惡意代碼、插入廣告、破解等問(wèn)題,樂(lè)固制定了高強(qiáng)度的反重打包方案。在游戲開發(fā)者完成開發(fā)后,樂(lè)固對(duì)游戲安裝包進(jìn)行反重打包處理,處理后的游戲安裝包內(nèi)的任何代碼、資源文件發(fā)生改動(dòng)均無(wú)法正常運(yùn)行游戲。

2.游戲反外掛解決方案

針對(duì)市場(chǎng)上出現(xiàn)的外掛進(jìn)行分類對(duì)抗,提高游戲?qū)ν鈷斓拿庖吡?,保護(hù)游戲平衡性。

?

移動(dòng) APP 安全行業(yè)現(xiàn)狀總結(jié)

移動(dòng) APP 在安全方面存在較多的問(wèn)題,并且問(wèn)題分布與應(yīng)用所在的行業(yè)具有密切的關(guān)系。比如金融行業(yè)的 APP 主要存在的安全問(wèn)題大都跟數(shù)據(jù)相關(guān),包括通訊數(shù)據(jù)安全、本地?cái)?shù)據(jù)存儲(chǔ)安全、運(yùn)行時(shí)數(shù)據(jù)安全等;電商行業(yè)的APP對(duì)注冊(cè)、登錄、賬戶密碼安全相關(guān)的方面需求更為強(qiáng)烈,包括密碼撞庫(kù)、業(yè)務(wù)防刷、密碼泄漏等;游戲類APP所存在的安全問(wèn)題根據(jù)游戲類型的不同而千差萬(wàn)別,但究其本質(zhì)主要包括重打包、外掛兩大類。

對(duì)于APP開發(fā)團(tuán)隊(duì)來(lái)說(shuō),在復(fù)雜的外部環(huán)境中保護(hù)團(tuán)隊(duì)的開發(fā)成果是必要的,應(yīng)盡可能采取針對(duì)行業(yè)的專業(yè)安全解決方案防范安全問(wèn)題的出現(xiàn)。

對(duì)于APP用戶來(lái)說(shuō),使用盜版應(yīng)用存在的風(fēng)險(xiǎn)較大,建議從正規(guī)的應(yīng)用市場(chǎng)下載應(yīng)用。

移動(dòng) APP 安全行業(yè)報(bào)告暫告一段落。在移動(dòng) APP 安全方向我們將繼續(xù)推出技術(shù)揭秘系列文章。

分享到

zhangnn

相關(guān)推薦