海云安带你解读移动金融APP安全报告

移动 APP 安全行业现状与导读

移动 APP 已逐步渗透入咱们的生活，据统计，2016年，APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右，国内移动互联网活跃用户数已经突破10亿，移动互联网这样快速的推移，移动互联网的安全问题更为严峻。

金融行业App安全现状概述

据统计，2015年金融行业移动 APP 用户约为8亿，2016年用户约增加至10亿。

金融行业移动 APP 受漏洞影响如图所示

高危占比23%：数据传输不安全致使盗取用户钱财损害平台利益。

中危占比40%：用户敏感信息泄露，应用被重打包后加入恶意代码和广告。

低危占比37%：应用崩溃，APP主要逻辑被逆向。

支付安全问题位列金融行业移动 APP 安全问题之首。

安全问题种类繁多，但其到底是如何给广大 APP 用户形成危害的，咱们选取一枚案例共同深刻分析。

 

案例说话

1 客户端与服务器传输安全

中间人攻击原理：中间人攻击主要发生在客户端与服务器通讯过程当中，黑客利用网络协议的漏洞，进行数据监听数据窃取以及数据篡改等违法行为。

正常通讯过程以下所示 ：

在android的https协议中，若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名，就会触发中间人攻击漏洞。

非正常通讯过程以下图所示：

析发现大部分银行和理财类APP，都存在此漏洞。

某银行 APP 反编译代码截图

 

2 用户输入数据传输安全

用户手机若是 root过，病毒软件就能够经过监听系统键盘或第三方输入法等方式来获取用户输入的信息，并转发到不法分子手中。

著名漏洞平台上曾经曝光过著名输入法的输入漏洞。

某电商 APP 键盘记录漏洞

 

3 本地数据安全

安卓 Shared Preferences 本地存储方式是开发者经常使用的存储本地信息的方式，但在 root 过的手机上，黑客能够轻松查阅这些明文保存的信息。

而 android 自带的 SQLite 数据库，也是以明文的形式存储在本地文件中的。黑客一样能够在 root 过的手机中查看这些信息。

手机里存储的明文文件

 

海云安建议：

海云安建议：APP应用漏洞致使的我的信息泄漏已经成为了目前网络信息诈骗的主要渠道之一，APP的开发者及运营者需提升对APP安全性的重视程度，可使用系列海云安安全服务进行检测及加固保护， 同时除了从执法层面来监督众多网络运营企业积极履行保护公民我的信息安全的法律责任外，公民我的也需提升信息安全防范意识，不要随意泄漏我的信息等。相信随着后续相应法律法规的不断完善实施、各项安全防御技术方案的逐步推广应用，我国的我的信息安全现状将获得大幅度改善提升！