AppsPlayground Automatic Security Analysis of Android Applications.pptVIP

安卓支付安全 Yan Chen * Lab for Internet and Security Technology(LIST) 大纲 背景 安全威胁 解决方案 * 背景 * 安全威胁 银行卡（信用卡） 盗卡 恶意交易 网上支付平台 账号密码被盗 校验码泄露：手机短信被拦截，或者手机SIM被盗 协议或者应用漏洞，不花钱或者少花钱交易 恶意交易 * 解决方案——银行卡盗卡 风控监测 位置信息 购买行为 价格 种类 数量 绑定指纹？ * 解决方案——网上支付平台 风控监测——“安全大脑” 位置 行为 关系 偏好 设备 账号 指纹（华为已与支付宝合作） * 解决方案——网上支付平台 系统层短信隔离 电话验证码 * 风控机制对比 * 互联网产品 安全手段 处理方案 支付宝 位置、行为、关系 偏好、设备、账号 停止交易，账号锁定，人工确认 微信 验证签名 逆向的APP会冻结账号 网易游戏，百度，QQ 位置信息，安全产品（将军令、手机令牌，绑定手机），手工二维码确认 锁定账号，人工解锁 各系网银 绑定手机，密保产品（U盾），动态登陆 锁定账号，柜台人工解锁 电商平台安全 不安全WIFI AppCracker 在WIFI层可以截获所有的数据包，有可能获取明文数据，或者破解简单加密之后的数据 B2C商务网站攻击 * 电商协议一个攻击模型 How to Shop for Free Online--Security Analysis of Cashier-as-a-Service Based Web Stores. SP 2015 这是一个攻击网站的模型 在2011年的时候北美众多B2C网站存在这个BUG 我们在研究是否中国B2C的网站存在这些BUG * 调研的参考文献 Wang R, Chen S, Wang X F, et al. How to Shop for Free Online--Security Analysis of Cashier-as-a-Service Based Web Stores[C]//Security and Privacy (SP), 2011 IEEE Symposium on. IEEE, 2011: 465-480. Chen E Y, Chen S, Qadeer S, et al. Securing Multiparty Online Services via Certification of Symbolic Transactions[J]. 2015. Lu L, Li Z, Wu Z, et al. Chex: statically vetting android apps for component hijacking vulnerabilities[C]//Proceedings of the 2012 ACM conference on Computer and communications security. ACM, 2012: 229-240. Cai F, Chen H, Wu Y, et al. AppCracker: Widespread Vulnerabilities in User and Session Authentication in Mobile Apps[C]//Security and Privacy (SP), 2015 IEEE Symposium on. IEEE, 2015. NopCommerce. / ecshop. / shopex. / hishop. / Rui Wang, Shuo Chen, XiaoFeng Wang. Signing Me onto Your Accounts through Facebook and Google: a Traffic-Guided Security Study of Commercially Deployed Single-Sign-On Web Services. IEEE Symposium on Security and Privacy, 2012. * 调研的参考文献 Luyi Xing, Yangyi Chen, XiaoFeng Wang, and Shuo Chen, InteGuard: Toward Automatic Protection of Third-Party Web Service Integrations, in Network Distributed System Security Symposium (NDSS), February 2013. Rui Wang, Yuchen Zhou, Shuo Chen, Shaz Qadeer, David Ev