移动金融安全风险及解决方案.pdf

+ 移动移动金融安全风险及及解决方案方案 梆梆安全BANGCLE V1.0V1.0 ++ 动安全报告简介移动安全报告简介 + 动安全概述移动安全概述  2014年新增手机病毒100.33万个  资费消耗类病毒占总数的53.9%  隐私窃取类病毒占总数的16.5%  21.1% 的病毒下载来自于手机市场 + 动安全概述移动安全概述  75.1%的手机病毒受害者为男性  155-2424岁人群占总感染比例岁人群占总感染比例334.2%4.2%  1  中毒手机最高的身份为广东  中毒手机最多的城市为北京 单身人群病毒感染率最高 感性人群病毒感染率最高 （好奇害死猫） + 移动手机病毒平台分布移动手机病毒平台分布 病毒针对操作系统平台病毒针对操作系统平台 安卓系统安卓系统 9898.05%05% J2ME平台 1.55% 塞班系统0.27% 其它其它00.13%13% + 目录目录 移动系统根本性安全缺陷移动系统根本性安全缺陷 移动应用开发设计缺陷移动应用开发设计缺陷移动应用开发设计缺陷移动应用开发设计缺陷 梆梆移动安全解决方案梆梆移动安全解决方案梆梆移动安全解决方案梆梆移动安全解决方案 移动系统根本性安全缺陷 ++  移动应用分发下载模式  移动应用使用模式  移动应用开放性机制  Android系统开源特性  移动应用使用人群特征 + 二次打包攻击二次打包攻击二次打包攻击二次打包攻击 针对交易的劫持攻击针对交易的劫持攻击针对交易的劫持攻击针对交易的劫持攻击 基于帐户密码的中间人攻击基于帐户密码的中间人攻击 移动攻击案例剖析移动攻击案例剖析 针对行业流行的移动攻击案例，剖 析背后的技术原理及基本手法，并 针对敏感个人信息的窃取针对敏感个人信息的窃取 归纳出移动应用面临的风险威胁边 界，建立移动应用安全模型。 其它攻击手段其它攻击手段 + 二次打包篡改攻击演示二次打包篡改攻击演示 通过通过二次打包次打包 ，，在原有应用中添加广告在原有应用中添加广告 ，，诈骗信息诈骗信息 + 二次打包篡改攻击二次打包篡改攻击 对客户端程序添加或修改代码，修改客户端资源图片，配置信息， 图标等，再生成新的客户端程序，实现二次打包攻击。攻击者可 能添加的模块包括： 添加病毒代码、 广告SDk，推广自己的产品； 添加恶意代码窃取登录账号密码添加恶意代码窃取登录账号密码、、支付密码支付密码、、 拦截验证码短信 直接攻击资金账户直接攻击资金账户 + 二次打包二次打包 －案例案例 （（11 ）） 在国内知名的七匣子市场在国内