资源描述
移动安全检测服务技术白皮书
编号:
密级:
移动安全检测服务
技术白皮书
V1.0
北京国舜科技有限公司
UnisGuard Corp
©2014-2016版权所有
北京市海淀区学清路甲38号金码大厦B座708室
邮编:100083
电话:+86-10- 82838085 传真:+86-10- 82838785
E-mail: contact@
修订历史记录
日期
版本号
作者
变更描述
2014年 10月 10日
V1.0
苗海川
建立基线版本
版权声明
北京国舜科技有限公司版权所有,保留一切权力。
未经北京国舜科技有限公司书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归北京国舜科技有限公司所有,并受中国知识产权法和国际公约的保护。
信息更新
本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息,并且随时可由北京国舜科技有限公司(以下简称“国舜科技”)更改或撤回。本手册将定期更新,如欲获得最新相关信息,请访问国舜科技网站:。
信息反馈
如有任何宝贵意见,请反馈:
电话:400-696-8096
E-Mail:contact@
主页:
免责条款
根据适用法律的许可范围,国舜科技按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,国舜科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使国舜科技明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。
本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。
出版时间
本文档由北京国舜科技有限公司2014年10月制作出版。
目 录
1. 概述 1
2. 检测方案介绍 1
2.1. 各种移动产品面临的风险 1
2.2. 移动产品具体检查项目 2
3. 客户收益 3
4. 案例 4
5. 关于我们 4
附录、名词解释 5
北京国舜科技有限公司
1. 概述
随着智能移动终端设备与移动3G、4G、WiFi网络的发展普及,移动业务系统的规模日益增大,手机银行、手机网游、移动电商、移动证券、移动保险、移动基金、移动视频、单机网游已经成为人们日常生活不可或缺的一部分,同时也为企业和相关从业者带来了巨额利润。但是大部分移动应用和游戏并没有很好的保护措施,当前移动应用被破解和感染恶意病毒已经司空见惯,甚至形成了产业链,这些恶意行为都严重影响了用户体验,损害了公司利益和形象。通过定期对移动应用和游戏做渗透测试和风险评估等移动安全性检测,可以及早发现安全性漏洞,进而针对不同漏洞提出修复建议和加固方案,以解决动态注入、反编译、修改内存、游戏外挂、重新打包与钓鱼、破解版本等高危风险问题。
2. 移动安全检测方案介绍
2.1. 各种移动产品面临的风险
不同移动产品敏感信息和关注模块的不同,使得其所面临的安全风险项也不尽相同。
1) 移动金融应用
据艾瑞咨询发布的报告称,2014年第一季度中国第三方移动支付市场交易规模达15328.8亿元,环比增长112.7%,交易规模的迅猛增势主要来自移动互联网支付领域。银行、股票、保险、证券、基金、电子商务等金融行业对移动应用的需求与日俱增,移动金融已经成为领先的商业银行的核心战略要素。
金融行业对移动产品的安全性特别敏感,但是当前大部分移动金融产品保护措施不太完善,与对破解的持零容忍度相差甚远。很多移动银行App客户端的完整性保护存在问题,App依赖的系统库被篡改,App面临反编译,篡改钓鱼,动态注入,协议被分析,各类代码和逻辑缺陷以及漏洞被挖掘等安全风险。移动金融产品保存了大量的用户个人信息和财务信息,一些大型电商的用户账户内甚至存有大量的资金或代金券,因而成为黑客和恶意攻击者的目标,各类山寨的钓鱼电商App层出不穷,电商账号密码的窃取和恶意消费司空见惯,也有竞争者之间,故意破坏篡改其App进行恶意攻击,破坏用户口碑和品牌。交易帐号信息被窃取是证券行业的严重风险,不但影响股民的交易安全,更影响证券公司的品牌,可能带来大规模的投诉,甚至受到监管机构的处罚。通过对移动交 易软件加壳或重新打包,就可能进行大规模的骗取用户交易帐号和密码,由于移动app的可反编译性特性,这种欺骗变得非常的容易;同时,其他的病毒攻击方 式,比如界面劫持,录屏等等也能轻易获得用户的股票账户和密码。通过网络劫持与监听获取移动金融产品的交易记录,也为用户照成了不少安全隐患。为维护金融体系的安全和稳定,银监会、证监会、保监会制定以一系列法律规章和制度规范,当前大部分移动金融产品没有达到指定的安全性要求。
2) 手机网络游戏
手机网络游戏正在成为移动互联网行业最热门的创业领域,也是目前国内移动互联网领域最主要的盈利模式。网络游戏历来就是黑客攻击者们重点关注的领域,在手机网游领域,这种安全风险也无处不在,比如外挂的盛行,盗号洗号等等。
许多热门游戏,目前都面临比较严重的外挂攻击和威胁,游戏外挂表现包括:
自动化游戏,内存修改,存档修改,封包修改 ,脱机挂和内挂,加速器,篡改安装包重打包,加载广告,runtime攻击(API Hook),逆向分析发掘服务端配置漏洞,逆向分析游戏逻辑漏洞等等。
许多卡牌游戏存在任意等级开启加速功能、扩展副本中的助战好友数量、增加“陌生人数组”最大数、修改“赠送”功能等外挂现象。
3) 其他移动应用
由于App本身极容易被反编译篡改的结构特性,社交App的用户体系和积分体系非常容易被黑客攻击破坏。刷分、刷评论、刷鲜花、刷榜等破坏内置的虚拟货币体系和增值服务模块的行为也屡见不鲜。某款近亿注册用户,过千万活跃用户的工具类社交应用也面临刷鲜花、刷榜等黑客恶意攻击。这种行为不但危害到了App本身的虚拟物品盈利模式,更是严重破坏了社区用户体系的公平性,更可能导致社交App产品的生命力下降,威胁到公司和产品的存亡。
付费体系和赢利模式被破坏是目前单机手游面临的最大问题。某一款知名游戏,上线一周之后,由于游戏的流行,很快也受到了黑客破解者的关注,市场上出现了无限金币、无限通关等盗版的版本,一周之内就出现了100多个破解版本。 由于App 游戏客户端的结构性特性,黑客(稍微有一些技术功底的人)可用免费的工具均可对单机游戏进行反编译篡改,对存档和数据进行修改,对金币、关卡系统进行破解,从而导致游戏付费体系的整体瓦解和免费盗版游戏的盛行。
移动视频App客户端正在成为人们观赏视频的最主要载体,许多互联网视频公司的移动访问量已在逼近互联网客户端。App客户端在为用户带来三屏合一的体验的同时,也在为视频公司带来了客观的广告收益。与此同时,视频App客户端也必须面临所有App软件都面临的移动互联网安全威胁,比如篡改盗版、反编译等等攻击。
2.2. 移动产品具体检查项目
检测项目
项目说明
存储文件权限检测
对存储文件运行时权限进行检测,检测是否能够动态更改存储文件,主要包括数据库存储文件、XML存储、自定义文件存储等。
临时文件生命周期检测
对缓存文件、数据库文件、XML存储文件、自定义存储文件等数据文件的生命周期进行检测,检测是否及时清除不必要敏感信息。
数据抓包检测
通过数据抓包分析,数据传输是否安全可靠。主要包括信道加密检测,数据加密检测,敏感信息提取检测等。
dex反编译检测
检测是否可以通过dex文件获取源码,通过源码可获取大量业务信息和服务器信息,进而逆向分析发掘服务端配置漏洞,对服务器进行攻击。
防二次打包检测
检测apk是否可以修改替换文件后二次打包,有没有对代码、资源文件、so库文件的验证。
smali代码注入检测
检测apk是否可以smali代码注入。
内存保护检测
对内存数据进行攻击检测,检测是否可以动态调试,是否可以hook进程,动态修改内存数据,通过dump获取源码等。
动态库保护检测
使用工具运行动态库,检测动态库是否可以被破解和代码还原,检测是否可以更改替换动态库文件。
键盘监听检测
检测是否可以键盘监听,从而获取用户名、密码等用户敏感信息。
软键盘安全性检测
对软键盘的安全性进行检测,检测软键盘是否安全有效。
截屏攻击检测
检测是否可以通过截屏攻击,获取用户名、密码等用户敏感信息。
敏感调试接口检测
对apk调试接口试攻击,检测是否关闭了所有敏感调试接口。
冗余log信息检测
检测是否存在冗余log信息,log中是否包含用户敏感信息。
3. 客户收益
定期对移动产品做安全性检测,可以及早发现风险漏洞,有效防止移动产品被破解、反编译、窃取源码、二次打包构造钓鱼apk、造成用户敏感信息泄露、破坏移动产品盈利体系、构造不公平用户竞争体系等,进而避免由这些问题造成的破坏用户体验、影响公司形象、损害企业、开发者和用户利益等风险。
客户收益主要体现在可以获得以下几点支持:
l 防止用户敏感信息泄露
移动产品特别是移动金融产品保存了大量用户个人信息和财务信息,这些信息的泄露会严重损害用户利益,甚至造成社会金融体系和信用体系动荡,为维护金融体系的稳定,银监会、证监会、保监会制定了一系列规章和制度。通过对移动产品做渗透性测试和风险评估,对有可能泄露用户敏感信息的漏洞提出针对性修复建议和加固方案,从而避免用户敏感信息的泄露,维护用户利益和公司形象,使得上市产品符合相关安全性法律法规的要求。
l 防止钓鱼apk损害用户和企业利益
由于当前大部分apk安全性保护不完善,产生了大量钓鱼apk,钓鱼apk极大地损害了用户利益,造成了批量用户信息泄露,将这些用户信息整理后用于撞库可造成严重经济损失。
l 防止山寨应用损害企业和开发者盈利体系
当前大部分移动应用没有做防二次打包和签名的保护,使得山寨应用猖獗,造成了客户量和盈利额分流,极大的影响了企业和开发者的盈利体系,更有些山寨应用植入广告,严重影响了用户体验。移动产品安全性检测,可以分析移动产品是否可以被破解、修改、植入广告,并针对存在的漏洞提出修复建议和加固方案,以避免山寨应用和游戏对企业和开发者造成的危害。
l 防止服务端信息暴漏
通过对客户端逆向分析发掘服务端配置漏洞,进而对服务器实行攻击,已成为当前热门的渗透手法。定期对移动产品做安全性检测,可以及早发现漏洞,避免服务端信息泄露,进而造成更为严重的损失。
l 防止不良用户竞争体系的形成
游戏外挂、聊天工具无限金币礼物、金融产品刷积分、客户端经验等级更改等都造成了不良的用户竞争体系,破坏了用户体验,损害了用户和企业利益。定期对移动产品做安全性检测,可以及早发现安全性漏洞,防止动态调试和内存修改,禁止加速器等脚本和工具的使用,以避免不良用户竞争体系的形成。
4. 案例
北京国舜科技有限公司对XX银行移动客户端做了渗透测试和风险评估,发现了大量风险问题和漏洞,比如银行卡号、手机号、用户名、密码、账户余额泄露,通过内存抓取dump出apk源码,造成业务流程泄露,通过信息抓包和信道破解获取交易记录,具体请求路径批量泄露,对服务端造成危险,软键盘存在安全性问题容易引发截屏攻击等。针对发现的问题,国舜团队提出相应的加固策略:
n 加固apk,防止apk源码泄露。
n 保护用户敏感信息,防止用户敏感信息泄露。
n 防止业务流程泄露,进而防止通过业务流程漏洞窃取用户信息或非法获利。
n 避免请求路径和参数泄露,进而对服务端造成威胁。
n 防止信道破解和传输信息抓包,以造成用户信息截获。
n 防动态调试和内存抓取,以造成内存修改和内存映像抓取。
n 针对不同漏洞提出具体修复建议和加固方案,使其达到银监会、证监会、保监会等机构制定的法律规章和制度。
该银行在国舜团对的指导下,进行加固和整改,最终顺利上线并且避免了严重安全问题。同时,也达到人民银行、银监会制定的法律规章和制度要求。
成功案例包括齐商银行渗透性测试与风险评估、恒丰银行渗透性测试与风险评估、齐鲁银行渗透性测试与风险评估、威海银行渗透性测试与风险评估、日照银行渗透性测试与风险评估、山东农村信用社渗透性测试与风险评估等。
5. 关于我们
北京国舜科技有限公司(简称“国舜”)是一家根源于清华、专注于网站安全领域和移动互联网安全领域研究、开发的高科技领军企业,总部位于北京市中关村科技园,在全国重要城市设有分支机构,是北京市科委认定的双软企业和高新技术企业。
国舜公司长期坚持纵深、动态、主动的软件安全理念,充分发挥自身产品研发和安全服务的特长,为客户提供全方位的安全解决方案,全方位提升应用安全。
多年持续的安全技术研究给予国舜宝贵的技术积累,在移动产品检测方面,国舜自主研发了一整套检测方法流程,尤其是在内存映像抓取、资源文件保护、动态库保护、信道破解、通信抓包、源码反编译、服务端配置逆向方面处于绝对领先地位。
在广大客户的大力支持下,国舜安全产品在政府、电信运营商、金融、教育、军工、大中型企业、能源、医疗、电子商务等领域得到广泛应用,成为中央政 府采购的主要应用安全产品协议供应商,在银行移动产品检测方面处于领先地位,在电信运营商保持市场领先地位。国舜安全产品正在保护数以万计的移动客户端和服务端,这些产品关联的经济价值过 千亿,政治影响不可估量。2008年以来,在北京奥运会、上海世博会、广州亚运会等重大活动中,以及党和国家的重要会议中,都发挥重大作用,为国家信息安全保驾护航做出应有贡献。
附录、名词解释
软键盘:所谓的软键盘并不是在键盘上的,而是在“屏幕”上,软键盘是通过软件模拟键盘通过鼠标点击输入字符,是为了防止木马记录键盘输入的密码,在银行的应用或网站等要求输入帐号和密码的地方容易看到。
数据抓包:就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全,但往往被某些人用来网游作弊,等。
apk反编译:攻击者利用反编译工具或脚本对apk做逆向还原处理,以获取apk源码,从而获取应用或游戏业务流程,从事黑客攻击活动。
截屏攻击:攻击者通过木马病毒等工具,hook应用进程,在特定操作时(包括但不限于用户输入用户名、密码等重要信息),对手机或pc进行屏幕录制或截图,以获取用户敏感信息。
smali代码注入: 攻击者通过黑客工具(或人工审计),寻找注入点,在特定注入点修改smali文件,以插入广告、钓鱼链接或更改业务流程等。
北京国舜科技有限公司 第5页/共7页
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
