金融篇——移动 APP 安全行业报告

移动 APP 安全行业现状与导读

移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析, 整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。

本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。本期来看金融篇。

金融行业移动 APP安全

现状概述

据统计,2015年金融行业移动 APP 用户约为8亿,2016年用户约增长至10亿。

金融行业移动 APP 受漏洞影响如图所示

高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。

中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。

低危占比37%:应用崩溃,APP主要逻辑被逆向。

支付安全问题位列金融行业移动 APP 安全问题之首。

安全问题种类繁多,但其究竟是如何给广大 APP 用户造成危害的,我们选取一枚案例共同深入分析。

金融行业移动 APP 所遇到的安全问题

案例说话

1 客户端与服务器传输安全

中间人攻击原理:中间人攻击主要发生在客户端与服务器通信过程中,黑客利用网络协议的漏洞,进行数据监听数据窃取以及数据篡改等违法行为。

正常通信过程如下所示 :

在android的https协议中,若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名,就会触发中间人攻击漏洞。

非正常通信过程如下图所示:     

乐固团队分析发现大部分银行和理财类APP,都存在此漏洞。

某银行 APP 反编译代码截图

2 用户输入数据传输安全

用户手机如果 root过,病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息,并转发到不法分子手中。

著名漏洞平台上曾经曝光过著名输入法的输入漏洞。

某电商 APP 键盘记录漏洞

3 本地数据安全

安卓 Shared Preferences 本地存储方式是开发者常用的存储本地信息的方式,但在 root 过的手机上,黑客可以轻松查阅这些明文保存的信息。

而 android 自带的 SQLite 数据库,也是以明文的形式存储在本地文件中的。黑客同样可以在 root 过的手机中查看这些信息。

手机里存储的明文文件

金融行业移动 APP 安全问题

解决方案

腾讯云乐固推出一套完善的移动金融安全解决方案。

1乐固安全支付解决方案

采用高强度的加密键盘,严格的双认证传输通道,从输入层到传输层保护了每一笔交易每一次数据传输的安全。

2乐固本地安全存储方案

对本地文件进行加密保护。防止本地文件被窃取盗用的风险。

3乐固高级 APP 安全防护方案

能在 APP 代码层面进行加密加花,可防破解,防盗版,防注入,防调试等。

4乐固安全身份认证体系

专为金融客户量身打造,包括人脸核身,短信认证等多重方案。可帮助金融客户在身份认证这一层打击不法分子。

本期对金融行业移动 APP 安全的分析先告一段落。

下期关键词预告:电商行业、薅羊毛、黑产关系链、APP 漏洞利用

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-02-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

犯罪成本越来越低:三步即可傻瓜化制作勒索软件

微信号:freebuf McAfee在暗网中发现了一款专门制作勒索软件的工具,使用这款软件,3步你就能制作勒索软件了。 地下犯罪市场很容易找到这些恶意软件生成器...

2137
来自专栏FreeBuf

MongoDB数据库遭大规模勒索攻击,被劫持26000多台服务器

MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。 ? “MongoDB启...

4349
来自专栏网络

中国香港服务器与大陆服务器有什么区别

随着国家对国内互联网环境的整治,国内的网络环境也变得越来越安全、干净。同时也给很多企业和站长建站时提出了更多的要求,除了内容上限制的更多,备案也成为了业内褒贬不...

8578
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(二)

2016年中国网络空间安全年报 日前,由安恒信息风暴中心策划编撰的《2016年中国网络空间安全年报》重磅发布。《2016年中国网络空间安全年报》旨在从安全大数...

3346
来自专栏FreeBuf

不是闹鬼,是病毒!全球首个Golem(傀儡)病毒感染数万手机

手机放在桌子上充电,突然亮屏,在没人触摸的情况下,一个手机游戏自己运行,滑动,执行许多命令。执行完之后,手机静悄悄关闭屏幕显示,跟什么都没发生一样。手机主人会发...

2078
来自专栏FreeBuf

最新漏洞利用包可租用每天需80美元

? 近日,以色列网络安全公司IntSights Cyber Intelligence透露,一种新型的漏洞利用套件正在俄罗斯某地下黑客论坛被进行出售。据论坛信息...

41211
来自专栏FreeBuf

这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码

这是一款针对国人的勒索软件,锁屏界面会显示勒索人的QQ,解锁的时候还用了百度TTL进行语音输入。 ? 近期,安全研究专家发现了一种新型的Android勒索软件。...

2167
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

36110
来自专栏FreeBuf

如何入侵大疆Phantom 3无人机

最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。 这是我第一次操作无人机或类似...

2329
来自专栏FreeBuf

大多数路由器都存在固件缺陷使用户面临风险

如果你有一台无线路由器,那你就得小心了。因为这台路由器可能到处都是安全漏洞,而这些漏洞很可能会让你的一切陷入安全风险之中。

993

扫码关注云+社区

领取腾讯云代金券