腾讯云安全:移动 APP 安全行业报告

移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻,基于腾讯云乐固和腾讯平台的大数据分析, 整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁,应用重打包威胁,应用仿冒威胁。

本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明,还原移动 APP 安全行业本貌。

金融行业移动 APP安全

现状概述

据统计,2015年金融行业移动 APP 用户约为8亿,2016年用户约增长至10亿。

金融行业移动 APP 受漏洞影响如图所示

高危占比23%:数据传输不安全导致盗取用户钱财损害平台利益。

中危占比40%:用户敏感信息泄露,应用被重打包后加入恶意代码和广告。

低危占比37%:应用崩溃,APP主要逻辑被逆向。

支付安全问题位列金融行业移动 APP 安全问题之首。

安全问题种类繁多,但其究竟是如何给广大 APP 用户造成危害的,我们选取一枚案例共同深入分析。

金融行业移动 APP 所遇到的安全问题

1、客户端与服务器传输安全

中间人攻击原理:中间人攻击主要发生在客户端与服务器通信过程中,黑客利用网络协议的漏洞,进行数据监听数据窃取以及数据篡改等违法行为。

正常通信过程如下所示 :

在android的https协议中,若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名,就会触发中间人攻击漏洞。

非正常通信过程如下图所示:

腾讯云乐固团队分析发现大部分银行和理财类APP,都存在此漏洞。

某银行 APP 反编译代码截图

2、用户输入数据传输安全

用户手机如果 root过,病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息,并转发到不法分子手中。

著名漏洞平台上曾经曝光过著名输入法的输入漏洞。

某电商 APP 键盘记录漏洞

3、本地数据安全

安卓 Shared Preferences 本地存储方式是开发者常用的存储本地信息的方式,但在 root 过的手机上,黑客可以轻松查阅这些明文保存的信息。

而 android 自带的 SQLite 数据库,也是以明文的形式存储在本地文件中的。黑客同样可以在 root 过的手机中查看这些信息。

那么,如何应对这些安全隐患呢?

1、安全支付解决方案

采用高强度的加密键盘,严格的双认证传输通道,从输入层到传输层保护了每一笔交易每一次数据传输的安全。

2、本地安全存储方案

对本地文件进行加密保护。防止本地文件被窃取盗用的风险。

3、高级 APP 安全防护方案

能在 APP 代码层面进行加密加花,可防破解,防盗版,防注入,防调试等。

4、安全身份认证体系

专为金融客户量身打造,包括人脸核身,短信认证等多重方案。可帮助金融客户在身份认证这一层打击不法分子。

电商行业移动 APP安全

现状概述

2016年移动电商APP总用户数量约6.3亿,其中约2.7亿用户遭受过不同程度安全问题,占比约43%。

电商行业移动 APP 受漏洞影响如图所示

高危占比14%:数据传输不安全导致用户订单泄露、篡改。

中危占比55%:本地数据存储不安全、用户隐私泄露。

低危占比29%:APP 业务逻辑被破解、算法剽窃。

支付安全问题依旧位列电商行业移动 APP 安全问题之首,而被“薅羊毛”问题当属电商行业移动 APP 安全问题的代表。

与传统零售相比,用户网购体验流程区别较大,基本遵循下图所示的网购流程。

每一个环节都可能引致重大的安全问题,电商 APP 也不例外。下面谈谈网购流程中较容易出现安全问题的三个环节:

1、账号注册-登录

电商 APP 的使用流程中,注册-登录过程都可以通过一些自动化工具来完成——批量注册账号、扫号。“羊毛党”们则利用了这一点, 刷取了大量的活动资源。因此,电商APP账号注册-登录系统则是电商平台打击黑产以及薅羊毛的第一道防线。

PS:扫号是指使用扫号器对账号、密码进行批量验证。

2、商品浏览

移动电商行业中,商家通过“平台活动”吸引用户、促进销量。而“羊毛党”则是通过“强占”商家的这种优质资源并转手真正的用户来谋利。损害了商家与用户的双向权益。以下是薅羊毛关系链

3、订单支付

支付系统是电商 APP 必不可少的一个模块,涉及到用户的账户密码、资金安全。用户在 APP 上支付时,数据如果不做有效保护,随时会被不法分子利用。

以下,我们围绕一个例子来分析以下,电商行业的主要安全隐患都有哪些。

案例:

国内著名移动运营商遭黑卡薅羊毛,流量平台一月被抢8.2万G

2016年12月10日至2017年1月6日期间,某运营商的“有奖答题”营销活动被羊毛党疯狂利用,导致活动开始时网页崩溃,活动福利一抢而空。

参考链接:

http://tech.qq.com/a/20161214/003524.htm

上述案例全过程分析

1、薄弱环节:无法鉴别真实用户

爆发这场“薅羊毛”大战的技术原因在于运营商(客户端APP、APP后台)无法有效识别出哪些是真实用户、哪些是羊毛党,也就是缺少图中所示的强大、高效的用户身份鉴别模块。

2、突破关键:手机号验证已经不是门槛

为提高注册用户身份的真实性、过滤出高价值用户以及防止恶意注册、扫号,案例中的运营商使用了短信验证码。为此,如何突破短信验证码就成为薅羊毛的关键一步。如下图手机打码关系链图。

3、“薅羊毛”的产业链:分工有序

整个“薅羊毛”有着完备、成熟的产业体系。羊毛党们经过精心的准备,接下来的攻击和套现就变得简单化、便捷化。羊毛党们利用打码平台和卡商提供的海量手机号以及提供的打码服务在运营商的流量平台上批量注册账号,并用注册到的账号采用自动化的软件参与运行商的“有奖答题”活动。整个薅羊毛关系链暴露出这样的核心问题:单纯依据手机号码来鉴别用户已不足以满足电商 APP 被“薅羊毛”的安全需求。看看黑产在这个方向的专业分工:

如何应对“羊毛党”?——

解决方案

随着互联网的蓬勃发展,网购已经成为居民生活消费不可获取的重要部分。除了移动应用通用安全问题外,电商 APP 在业务安全方面存在的问题较大,腾讯云乐固针对电商 APP 提供了定制的安全解决方案。

1、支付安全解决方案

采用高度定制的安全键盘,严格的双认证传输通道,确保输入数据安全以及输入层到传输层的数据安全,有效防止截屏、输入信息窃取等威胁。

2、应用安全解决方案

乐固安全产品在源码、资源文件、运行时内存、逆向破解等方面对电商 APP 进行全方位保护。

3、业务安全解决方案

在 APP 集成短信验证码安全 SDK,与腾讯云乐固&天御防刷后台配合,有效防止批量注册、扫号以及“薅羊毛”等恶意行为,避免企业被刷带来的巨大经济损失。

总而言之,对抗“羊毛党”,根源上是识别用户是否真实,是否可靠。电商平台需从多维度去鉴别、过滤。

游戏行业移动 APP安全

现状图示

据统计,2016年游戏类移动 APP 款数约2.6万,2015年游戏类移动 APP 款数约1.5万,2016年相比2015年增长约73%。

游戏行业移动 APP 受漏洞影响如图所示:

高危占比29.9%:游戏客户端与服务器数据传输不安全导致游戏数据可篡改、可泄露等;

中危占比29.2%:游戏客户端本地存档数据未加密,导致存档可篡改、隐私泄露;

低危占比40.9%:应用内存在部分逻辑不严谨,导致在某些情况下应用崩溃;

APP 破解问题位列游戏行业移动 APP 安全问题之首。

游戏行业移动 APP 安全问题

1、重打包

如同传统的互联网黑产一样,手机游戏黑产主要目的是获取非法收益,其手法多种多样,主要包括插入恶意代码、插入广告、破解等。

首先,插入恶意代码主要的方法是黑客对下载的游戏安装包进行反编译,在其中加入恶意代码,再将游戏重新打包为安装包,进行二次发布。相对于原始游戏应用,插入恶意代码的游戏应用可以进行恶意扣费、读取用户的隐私数据、破坏用户的设备,极大损害游戏厂商与游戏玩家的利益;

其次,插入广告作为获取收入的最直接方式,经常出现在手机游戏应用中。普通用户可能不知道这些广告中大部分来自于“打包党”的二次插入,“打包党”们通过反编译工具向应用中插入广告代码与相关配置,再在第三方应用市场、论坛发布;

最后,破解作为直接破坏游戏平衡性的最佳方法一直是游戏开发者深恶痛绝的一种安全问题。众所周知,很大一部分游戏的收入来自于游戏中出售的虚拟物品,而黑客可以使用反编译的手段修改游戏逻辑代码绕过付费验证逻辑,达到不付费即可体验游戏收费功能的目的。这不仅损害了游戏厂商的利益,更破坏了整个游戏体系的平衡,对整个游戏运营系统是暴击。

与此同时,部分渠道被重打包的盗版游戏代码内除了游戏本身的逻辑代码外还包含了一些发送短信的恶意代码,相关的模块在原始的正版应用中并不存在,如下图:

游戏行业移动 APP 所遇安全问题

2、外挂

外挂作为破坏游戏平衡性的常规手段对单机游戏与网络游戏均具备较大的破坏力,对于单机游戏来说,外挂可以协助玩家以较低成本完成游戏,破坏游戏本身的平衡性与可玩性;对于网络游戏来说,外挂在破坏游戏平衡性的同时也会增加服务器端的计算压力。也正因为外挂对于游戏的破坏力惊人,外挂通常被游戏开发者、运营商认定为主要安全问题。

腾讯云乐固团队对市场上比较流行的一款消除类游戏进行调查发现,该游戏外挂以辅助工具的名义存在于各大游戏论坛中,其使用方法简单粗暴,并且配以图文教程。其主要手段是提示消除路径、增加道具使用次数、篡改消除单元排列,通过这些“辅助”方法,游戏难度大大降低,游戏平衡性荡然无存。

下图是篡改消除单元排列的效果图:

游戏行业移动 APP 安全问题解决方案

通过上文的分析可以看出,手游行业所存在的安全问题主要包括重打包与外挂两大类,腾讯云乐固推出一套完善的移动游戏安全解决方案。

1、游戏反重打包解决方案

针对手机游戏行业中存在的插入恶意代码、插入广告、破解等问题,乐固制定了高强度的反重打包方案。在游戏开发者完成开发后,乐固对游戏安装包进行反重打包处理,处理后的游戏安装包内的任何代码、资源文件发生改动均无法正常运行游戏。

2、游戏反外挂解决方案

针对市场上出现的外挂进行分类对抗,提高游戏对外挂的免疫力,保护游戏平衡性。

移动 APP 在安全方面存在较多的问题,并且问题分布与应用所在的行业具有密切的关系。比如金融行业的 APP 主要存在的安全问题大都跟数据相关,包括通讯数据安全、本地数据存储安全、运行时数据安全等;电商行业的APP对注册、登录、账户密码安全相关的方面需求更为强烈,包括密码撞库、业务防刷、密码泄漏等;游戏类APP所存在的安全问题根据游戏类型的不同而千差万别,但究其本质主要包括重打包、外挂两大类。

对于APP开发团队来说,在复杂的外部环境中保护团队的开发成果是必要的,应尽可能采取针对行业的专业安全解决方案防范安全问题的出现。

对于APP用户来说,使用盗版应用存在的风险较大,建议从正规的应用市场下载应用。

相关推荐

MySQL成勒索新目标,数据服务基线安全问题迫在眉睫

【黑客解析】黑客是如何实现数据库勒索的?



此文已由作者授权腾讯云技术社区发布,获取更多云计算技术干货,可请前往腾讯云技术社区

欢迎大家关注腾讯云技术社区-博客园官方主页,我们将持续在博客园为大家推荐技术精品文章哦~

时间: 2024-11-06 10:43:14

腾讯云安全:移动 APP 安全行业报告的相关文章

比特币勒索病毒肆虐,腾讯云安全专家给你支招

5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发.据BBC.CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击. 什么是比特币勒索蠕虫病毒? 这次攻击的始作俑者是一款名为"WannaCry"(中文名:想哭)的勒索病毒,带有加密功能,它利用 Windows 在 445 端口的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开,用户电脑存在文档被加密的情况,攻击者称需支

使用Java后台服务器通过腾讯信鸽向app推送消息_快速上手案例

这两天公司业务有需求,当用户进行一些操作,比如下订单.支付等操作时,需要关联后台自动向app推送顶栏消息.为了实现这个功能,使用了腾讯信鸽推送.<腾讯信鸽推送>已经封装好了推送代码,只需要调用它一个方法就可以,在方法参数中传入识别id和推送内容,就能完成推送消息到目标设备,实现起来其实非常容易! 第一步:登陆腾讯信鸽网站,下载jar包http://xg.qq.com/docs/server_api/other.html 然后点击java服务端,弹出下载框(我用的是火狐浏览器),保存文件 解压文

腾讯公司ios版QQ邮箱App使用感受,说一个很不好的地方

其实大概一年前就安装过QQ邮箱(ios版本),不过当时实在是愤怒得不得不卸载,原因在于: 让人愤怒的QQ邮箱! 我有多个QQ邮箱,当我在QQ邮箱app里面添加了一个邮箱账号,再添加其他QQ邮箱账号之后,奇迹的事情发生了,去网页端登录,打开邮箱可以看到他们可以相互登录了!!这些QQ邮箱强制性的相互自动关联了!!而且还不止如此,如果你想用QQ邮箱app来登录多个邮箱账号,就必须让他们账号关联,反正一登录他们账号就自动关联!隐私.安全何在? 设计初衷是好的,方便用户(其实这哪门子方便啊).但假如用户根

App 后台架构设计方案 设计思想与最佳实践

转载请注明出处:http://blog.csdn.net/smartbetter/article/details/53933096 做App做的久了,就想研究一下与之相关的App后台,发现也是蛮有趣的.App后台的两个重要作用就是 远程存储数据 和 消息中转.这里面的知识体系也是相当复杂,做好一个App后台也是需要长期锤炼的.本篇文章从 App 后台架构 的角度介绍.好了,下面进入正题: 说起架构,我们先看一下何为架构,百度百科是这样说的:架构,又名软件架构,是有关软件整体结构与组件的抽象描述,

你的App为什么上不了TOP10?

 App市场风起云涌.可是,却只有少数几个App能成为"暴发户",更多的则沉淀在应用商店中无人问津. 在移动互联网时代,智能手机成为了中心. 手机之所以智能,就在于手机上能装载应用软件(App).每天都有人从应用商店下载安装App,不满意就手起刀落直接删除.下载和删除,只在一瞬间,最终留下来的也就那么几个App:微信.淘宝.百度地图等. 艾媒咨询发布的一篇研究报告显示,App的生命周期平均只有10个月,85%的用户会在1个月内将其下载的应用程序从手机中删除,而5个月后,这些应用程序

云-腾讯云:腾讯云

ylbtech-云-腾讯云:腾讯云 腾讯云—腾讯倾力打造的云计算品牌,以卓越科技能力助力各行各业数字化转型,为全球客户提供领先的云计算.大数据.人工智能服务,以及定制化行业解决方案. 1.返回顶部 1. 腾讯云有着深厚的基础架构,并且有着多年对海量互联网服务的经验,不管是社交.游戏还是其他领域,都有多年的成熟产品来提供产品服务.腾讯在云端完成重要部署,为开发者及企业提供云服务.云数据.云运营等整体一站式服务方案. 具体包括云服务器.云存储.云数据库和弹性web引擎等基础云服务:腾讯云分析(MTA

APP后台架构20191205

1.架构,架构与业务紧密相关,是有业务驱动的. 2.APP后台演进原则. App后台的架构是由业务规模驱动而演进的,App后台是为业务服务的,App后台的价值在于能为业务提供其所需要的功能,不应过度设计. 从项目的角度,当App访问量不大时,应该快速搭建App后台,让App尽快上线给用户提供服务,验证商业模式的正确性,同时快速迭代产品. 当App访问量不断上升,这时要在保证快速迭代的前提下,同时兼顾高性能和高可用. 当App访问量达到一定阶段后,增长曲线就会放缓,但业务变得更加复杂,对高性能和高

腾讯云访问不了80端口,与8080问题

遇到问题:开始在ubuntu用户下安装jdk,tomcat,tomcat默认8080端口能访问,我改成80就不能访问了,又改成8080还是不能,纳闷了不知道什么原因,坑 腾讯云真的有点慢访问,不知道为什么,第一次访问8080或80时很慢,而阿里云不会这样,所以有的时候都不知道它连上没有,第一次连上了后,后面访问就还可以. 解决方式用切换到root权限下进行安装和配置就好了.太坑了. 1.腾讯云安全策略,有进有出,别忘了光配置进没配置出了 当然默认是全开的,不用操心 2.腾讯云进入shell的是u

爱奇艺、优酷、腾讯视频竞品分析报告2016(二)

接上一篇<爱奇艺.优酷.腾讯视频竞品分析报告2016(一)> http://milkyqueen520.blog.51cto.com/11233158/1760192 2.4 产品设计与交互 2.4.1  视觉风格 APP设计风格从视觉效果上至少给用户传达了两个信息:一是APP的整体基调.二是APP的目标人群. 在设计风格表现上,颜色占据了80%以上的视觉体验.因此要做好设计风格,主要做好界面的颜色搭配和分布.另外颜色是有情感的,不同的色彩能给于用户不同的印象和感受,而且不同的人群对颜色偏好也