移动互联网应用安全

移动互联网安全形势
移动应用安全威胁
移动应用面临的安全问题
提纲
病毒木马
敏感信息
钓鱼攻击
功能滥用 安全合规 设计缺陷
Android病毒14年7个月感染用户超1.05亿人次
安全问题-手机病毒
移动支付病毒进入“爆发期” 在APK包中植入的支付拦截木马获得用户信息
手机支付病毒最明显特征表现为“偷短信”
第三方支付 互联网与金融门户 金融互联网 互联网货币
互联网理财
移动互联网安全形势
恶意攻击如暴风雨般愈来愈猛烈 • 恶意程序愈发猖獗，病毒呈现几何式疯狂增长态势， 支付病毒智能化程度提升 验证短信成明显攻击目标 • 恶意程序蔓延到证券行业，2013年有42款股票类应 用被感染。包括股票基础、股票入门、股票实时行 情等 • 移动平台兴起新的钓鱼方式，二次打包山寨 APP的 安全问题继续困扰用户 • 诈骗短信目的性与技巧性加强 社会工程学特征明显
选择适宜的移动安全软件
关注移动安全
应用加壳 开发 规范 安全 培训
渗透测试
管理 流程
应急 响应
代码审计 配置 检查 渠道 监控
漏洞 工具 安全 交付 安全需求 我们能做些什么 安全工作 扫描 指导 参考 评审 安全 方案 方案评审 威胁建模 应用 下架
系统上线
需求&设计
开发ቤተ መጻሕፍቲ ባይዱ测试
量身定制制定移动银行安 全架构和设计规范
下载后在手机上感染
用户使用恶意二次打 包应用证券交易
交易金额被修改
结束
安全问题-钓鱼攻击-社会工程
安全问题-钓鱼攻击-社会工程
安全问题-钓鱼攻击-伪基站
通过假基站推送
安全问题-钓鱼攻击-伪基站
假基站攻击
安全问题-WIFI钓鱼
安全问题-WIFI钓鱼-请君入瓮
信息泄露-GSM短信窃听
GSM 短信窃听
1 移动客户端代码审计 2 移动客户端安全测试 3 安全加固
上线前评估
安全监控
安全培训贯穿
《安全架构和设计方案》 《Android App安全架构和设计规范》 《IOS App安全架构和设计规范》 《承载环境安全配置规范》 《代码安全性审计报告》 《安全编码规范》 《安全检测报告》 《安全加固报告》 《安全评估报告》
系统安全
闭；调试接口易泄露服务器端用户数据；通讯协议被破解导致对服务端进行拒绝服 务攻击
安全评估
风险7：应从手机银行安全认证体系进行整体安全评估 风险8：关注交易安全
如何应对移动平台风险
通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP。
正规安全的渠道下载官方应用
正规渠道
官方网站
提供警惕谨防电信诈骗
严重
中等 轻度
安全问题-设计缺陷-越权
安全问题-设计缺陷-短信DOS攻 击
指哪打哪
安全问题-客户端环境-键盘缺陷
键盘截屏
键盘窃听
输入框截屏
安全问题-客户端环境-组件劫持
安全问题-透过合规看问题 银监会2014年对手机银行的安全 检查
证书安全
风险1、SSL证书是否完整；不完整，导致用户访问钓鱼网站。
伪基站冒充运营商发送短信积分兑换钓鱼短信
安全问题-手机病毒
安全问题-手机病毒
病毒木马都在做什么
静音拍照 钓鱼应用
吸费短信
网银木马
手机变“肉鸡”
安全问题-钓鱼攻击-打包党利益 链
开始
从官网上下载
安全问题-设计缺陷-病毒植入
手机上安装
手机上直接反编 译
Pc上反编译
植入恶意代码 手机上卸载原应 用安装恶意二次 打包版本 将恶意二次打包版本 放入中小渠道
移动应用安全
办 公 安 全

手 机 应 用 安 全
Professional Security Solution Provider

移 动 办 公

移 动 互 联 网

提纲
1 移动互联网安全形势 2 移动应用安全威胁 3 如何应对移动平台风险
4 个人办公安全
移动互联网时代
P2P 网贷
互联网金融 众筹融资
随着二维码的流行，目前已成为增长最快 的染毒渠道，风险增大，手机用户不要见 码就扫，最好安装具备二维码恶意网址拦 截的手机安全软件进行防护，或者安装带 有安全识别的二维码工具进行二维码扫 描，如此可降低二维码染毒风险。
定期给手机进行体检和病毒查杀，并及时更新病毒库。针对最新流行肆虐 危害较大并且难以清除的病毒或者漏洞可下载专杀工具及时查杀或修复。
交易安 全
风险2、Android平台是否存在代码反编译、组件劫持现象；反编译后，导致转账等 业务数据被篡改 风险3、安全检测要关注内存、缓存信息是否及时清除；进程注入后导致转账等业务 数据被篡改 风险4、手机银行客户端是否存在键盘劫持；键盘劫持和屏幕截屏泄露用户隐私
账户安全
风险5、调试日志是否曝露了敏感客户信息；日志信息、存档信息、数据库信息泄露 用户隐私 风险6、梳理手机银行代码，客户端编译打包前要进行代码核查，确认调试接口已关
GSM 伪基站
信息泄露-你收到过这样的礼物吗？
移动应用攻击-丢的不仅仅是手机
1、越权访问漏洞 2、不安全的传输协议 3、任意文件下载 4、泄露的SVN信息 5、敏感数据本地保存 6、错误页面信息
安全问题-信息泄露
绿盟科技-移动应用端洞统计
25
安全问题-设计缺陷
20
15
10
5
0
客户端 短信 客户端 敏感信 DDOS 未对用 息泄露 攻击 户输入 进行校 验 客户端 越权修 越权访 应用功 会话设 存在中 登录设 Web访 较弱加 任意文 不安全 服务器 服务器 服务器 明文传 程序未 改数据 问 能设计 计缺陷 间人攻 计缺陷 问控制 密算法 件上传 的默认 端WEB 端不安 端错误 输 采取抗 缺陷 击缺陷 缺失 漏洞 配置 框架漏 全配置 页面信 防护措 洞 息泄露 施 6 2 12 2 1 3 15 4 1 21 4 3 8 5 3 5 7 1 2 7 2 1 1 1 1 1 1 6 1 1 2 1 3 5
各种新型诈骗短信和电话在今年持续泛 滥，对于收到“我是歌手”、“爸爸去哪 儿中奖”、“年费”、“密码器过期” 类、“网购支付货款被冻结”、“快递地 址不 详”等以及网银支付、网络购物等系 列的诈骗短信与关键词应果断举报并开启 手机管家骚扰拦截，有效拦截诈骗类垃圾 短信。
谨防预置软件
许多水货手机出货前就已经刷机或者内置了各种流 氓软件，而这些刷入或内置入ROM的恶意软件包一 般很难用常规手段卸载或清除，有刷机需求的用户 可选择可靠的、专业的刷机联盟内的厂商。如：甜 椒刷机、刷机精灵下载安全纯净的ROM。