移动终端安全性概要.ppt

移动终端安全性 互联网安全 互联网的发展可以用日新月异来形容，互联网给人们的生产生活带来巨大变化，对很多领域的创新发展起到很强带动作用。 但同时，因为网络具有开放性、隐蔽性、跨地域性等特性，存在很多安全问题亟待解决。2015年国际上就发生过很多网络安全事件，如美国人事管理局OPM数据泄露，规模达2570万，直接导致主管引咎辞职；英宽带运营商TalkTalk被反复攻击，400余万用户隐私数据终泄露；摩根士丹利35万客户信息涉嫌被员工盗取；日养老金系统遭网络攻击，上百万份个人信息泄露等。 可能大家都认为网络安全问题离我们很遥远。中国有6.7亿网民、413万多家网站。现如今，互联网技术已经深度融入到我们生活的方方面面，衣食住行、支付、理财、通讯等全都与互联网离不开关系。而在我们的日常生活中，网络安全事件也时常发生。 网络安全事件 网易邮箱过亿数据泄漏 10月19日下午消息，乌云今日宣布发现新漏洞，此漏洞将导致网易163/126邮箱过亿数据泄漏，报告称网易的用户数据库疑似泄露，影响数量总共数亿条，泄露信息包括用户名、MD5密码、密码提示问题/答案（hash）、注册IP、生日等。 苹果XcodeGhost事件 Xcode为苹果公司提供的程序编写软件，用于开发苹果应用程序(苹果APP)。9月19日爆出开发者在通过一些非苹果公司官方渠道下载的Xcode工具开发苹果APP时，会向正常的苹果APP中植入恶意代码，被植入恶意代码的苹果APP可以在App Store正常下载并安装使用，导致用户隐私泄露，微信、滴滴打车、百度音乐、58同城、网易云音乐等350余款APP被感染 数千万社保用户信息泄露 2015年4月22日，从补天漏洞响应平台获得的数据显示，围绕社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市就已经超过30个，仅社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露，造成的危害不仅的个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗用信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。 七大酒店泄露大量房客开房信息 2015年2月漏洞盒子平台的安全报告指出，知名连锁酒店桔子、锦江之星、速八、布丁；高端酒店万豪酒店集团、喜达屋集团、洲际酒店集团存在严重安全漏洞—房客开房信息大量泄露，一览无余，黑客可轻松获取到千万级的酒店顾客的订单信息，包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。 终端安全事件 XSS跨站脚本攻击 Android我查查app存在存储型xss漏洞，盲打已打管理cookie 人人车APP客户端存储型xss可推送各种信息 SQL注射漏洞 拉手团购客户端存在SQL注入 新浪微博Android客户端漏洞打包（设计缺陷/拒绝服务/敏感信息泄露/SQL注入） 拒绝服务 携程客户端拒绝服务漏洞 滴滴出行客户端本地拒绝服务 权限提升 搜狗输入法权限提升漏洞 中国人民保险app用户登录绕过+用户敏感信息泄露 远程代码执行 百度地图/输入法应用安卓版远程代码执行漏洞 影音先锋安卓APP远程代码执行漏洞 高德地图远程获取手机的敏感信息可远程命令执行（可以远程利用非webview） 用户敏感数据泄露 17173安卓客户端敏感信息泄露 CSDN安卓客户端账户密码本地明文存储可被远程窃取及其他漏洞 速8酒店Android客户端敏感信息泄露（明文密码/手机号/邮箱/订单等） 设计错误/逻辑缺陷 搜狗手机浏览器逻辑缺陷可获取隐私信息 如意淘客户端升级校验不严格可导致被中间人利攻击利用植入木马 e乐充公交卡充值支付漏洞（可实现不花钱充值） 来源 /index.php 随着智慧城市和移动互联网的快速发展，智能手机、平板电脑等移动终端用户数量呈爆发式增长，移动应用快速发展，极大方便了广大用户日常工作、学习、生产和生活。移动互联的扩张，移动APP承载了更多企业的终端梦。用户手机安装APP以后，企业即埋下一颗种子，可持续与用户保持联系。 种子是种下了，可要是它本身就是个[特洛伊木马]呢?试想你在某某知名APP平台下载安装一款知名APP，深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景！ 我们所面临的威胁 打包党：通过反编译官方apk，向apk内注入所需的代码，重新打包签名发布。可以插入广告，淘宝客，恶意代码等。 接口党：通过抓包工具、逆向工具等得知客户端与服务器端的通信规则，进而伪造请求业务接口。 木马党：伪造官方应用，盗取个人用户信息，非法使用流量，恶意吸费等。 设计缺陷：设计存在缺陷可能导致直接获取内部关键系统甚至渗透，手机客户端XSS盲打后