移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读

移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析, 整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。

本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。本期来看金融篇。

金融行业App安全现状概述

据统计,2015年金融行业移动 APP 用户约为8亿,2016年用户约增长至10亿。

金融行业移动 APP 受漏洞影响如图所示

高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。

中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。

低危占比37%:应用崩溃,APP主要逻辑被逆向。

支付安全问题位列金融行业移动 APP 安全问题之首。

安全问题种类繁多,但其究竟是如何给广大 APP 用户造成危害的,我们选取一枚案例共同深入分析。

案例说话

1 客户端与服务器传输安全

中间人攻击原理:中间人攻击主要发生在客户端与服务器通信过程中,黑客利用网络协议的漏洞,进行数据监听数据窃取以及数据篡改等违法行为。

正常通信过程如下所示 :

在android的https协议中,若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名,就会触发中间人攻击漏洞。

非正常通信过程如下图所示:

乐固团队分析发现大部分银行和理财类APP,都存在此漏洞。

某银行 APP 反编译代码截图

2 用户输入数据传输安全

用户手机如果 root过,病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息,并转发到不法分子手中。

著名漏洞平台上曾经曝光过著名输入法的输入漏洞。

某电商 APP 键盘记录漏洞

3 本地数据安全

安卓 Shared Preferences 本地存储方式是开发者常用的存储本地信息的方式,但在 root 过的手机上,黑客可以轻松查阅这些明文保存的信息。

而 android 自带的 SQLite 数据库,也是以明文的形式存储在本地文件中的。黑客同样可以在 root 过的手机中查看这些信息。

手机里存储的明文文件

解决方案

腾讯云乐固推出一套完善的移动金融安全解决方案。移动 APP 安全行业安全问题详细解决方案可点击链接:https://www.qcloud.com/product/cr

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-02-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

Cryptolocker劫持软件肆虐,感染25万PC

据报道,Cryptolocker劫持软件已经感染约25万台PC。Cryptolocker这款劫持软件恶意加密用户数据,然后索要一定的费用,否则...

2984
来自专栏非著名程序员

由勒索病毒而引起的一些想法和看法

从5月12日晚,勒索病毒开始慢慢爆发,到今天至此更是快速蔓延,席卷全球。全球近100个国家的不计其数的电脑受到一个叫做“WannaCry”勒索病毒的侵扰。到目前...

2455
来自专栏企鹅号快讯

如何实现敏感无线系统安全?

2014年8月,美国国土安全部(以下简称“DHS”)首席信息安全官办公室发布了DHS 4300A-Q1(敏感系统手册)文件。文件仅针对敏感无线系统的安全问题,不...

2195
来自专栏*坤的Blog

史融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了红芯浏览器转存在蓝奏云盘的下...

1262
来自专栏FreeBuf

全球500强企业弃用的Web应用存在安全隐患

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,...

1304
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(二)

2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数...

3346
来自专栏FreeBuf

如何入侵大疆Phantom 3无人机

最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。 这是我第一次操作无人机或类似...

2329
来自专栏黑白安全

GovPayNet 凭证系统存在漏洞 1400 万交易记录被曝光

GovPayNet是总部位于美国印第安納波利斯市(Indianapolis)的私营企业,为美国35个州的2300多个美国政府机构提供在线支付服务。根据最新信息,...

913
来自专栏网络安全防护

多家P2P网贷平台因DDOS攻击而倒闭,P2P平台该怎么应对?

最近这几年,国内P2P网贷平台大规模进入市场,在高速发展的同时,倒闭跑路、投资者信息安全等一系列问题层出不穷。一大波黑客也盯上了P2P平台这一块“肥肉”,黑客通...

2430
来自专栏腾讯云安全的专栏

金融篇——移动 APP 安全行业报告

2013

扫码关注云+社区

领取腾讯云代金券