梆梆安全银行移动APP安全产品及解决方案.ppt

从移动应用数据链上游保护 应用开发 渠道分发 使用终端 从根本上解决移动应用的安全问题 多种算法全方位加固移动应用 其他 …… 透明数据加密 代码加密 classes.dex 资源文件加密 APP 核心 SO文件 加密 反调试 反动态 注入 内存加密 保护 1. 二次打包和反编译 2. 不安全的数据存储 3. 传输层保护不足 4. 意外的数据泄露 5. 授权认证较弱 6. 破解密码算法 7. 客户端注入 8. 通过不可信输入的安全决策 9. Session会话处理不当 10. 缺乏二进制文件保护 × OWASP移动应用十大风险 某移动应用客户端加固示例 移动安全加固 ▼源代码保护、防反编译等。 防逆向分析客户端各类协议，业务逻辑，客户端漏洞等等 ▼各类资源保护，对客户端进行完整性保护，防止黑客篡改客户端各类资源等; ▼防止客户端被篡改、盗版及山寨等。 防二次打包，插入恶意代码等等 ▼防调试保护，防止可修改及调试代码 防修改交易信息，发生各类交易劫持等等 ▼ 数据保护，防止黑客读取、解密、替换数据及文件等。 ▼对用户本地存储的文件进行加密保护，可以防止APK产生的文件被泄露等。 ▼对用户本地存储的文件进行加密保护的同时，把文件与手机进行绑定等 账户保护，本地信息保护等等 安全插件1 ▼防劫持安全插件等 防页面劫持等等 安全插件2 ▼虚拟键盘，防输入时的键盘劫持，录屏，底层dump读取键盘输入内容等等 保护各个输入环节安全等 移动应用加固技术的演进 加固技术V2.0 JAVA方法替换技术 加固技术V0.5 代码混淆技术 加固技术V3.0 虚拟CPU指令集技术 加固技术V1.0 JAVA类加载技术 加固技术V4.0 保密中 梆梆安全， 全球移动应用加固技术的最先进，没有之一。 其他加固厂商 SO加固 本地数据保护 Unity脚本保护 梆梆安全移动应用加固交付方式 SaaS 梆梆安全加固助手 私有云 本地搭建 加固系统 梆梆安全 加固盒子 BS/CS 梆梆安全移动应用钓鱼监测服务 梆梆安全监测系统有上百个节点， 实时监测全球600个渠道； 累计了上百万证书，搜集了近千万APK 梆梆安全移动应用钓鱼监测 梆梆安全移动应用钓鱼监测实例 梆梆安全移动应用渠道监测服务 APP渠道监测案例—监测汇总 例子：捕鱼达人监控报告 共发现21个被篡改和盗版的应用 下载量高达五百多万 知名APP渠道监测案例 –详细报告 梆梆APP渠道监测系统报表 –手机银行类汇总报表 梆梆移动应用检测系统---检测数据汇总报表 这块的工作最重要的是快速的发现，快速的鉴别。我们看到这2个app，他们其实在发布到渠道之前，都经过腾讯，百度这些的安全引擎的检查，但实际上几乎没用，查不出来。 最有效的方式，是用爬虫去把几百个渠道的信息实时爬下来，然后做盗版对比。这个是2个案例。实时提醒钓鱼app的出现，最快速的出具钓鱼app电子取证报告。 金融移动应用安全产品及解决方案方案 产品联系人： 陈土益 华南区销售经理 电话QQ微信微博：13822152178@139.com tuyi.chen@ 广州天河岗顶龙口东路 龙口科技大厦1503室 扫一扫可加我微信 现实的移动互联网世界 前20大主流APP分发渠道盗版比例 可疑行为数量统计 现实的移动互联网世界 某知名应用商店篡改版APP下载比例 某知名应用商店篡改版APP下载比例 热门游戏正盗版下载对比 放大 15X 移动应用安全状况 2014年5-6月间，梆梆安全参考人民银行在2013年初发布的《中国金融移动支付-客户端技术规范》，对包括中信银行、中国银行、广发银行、南京银行等国内50家银行进行的Android手机安全评估调研分析中，发现绝大多数银行都存在严重的移动安全风险，下表是部分比较集中和突出的风险。 移动端安全被忽视 Web端 后台系统 移动端 安全意识尚未从互联网时代进入移动互联网时代 常见的移动应用攻击手段 反编译 动态调试 篡改 常见的移动应用攻击手段 反编译 代码反编译，客户端业务逻辑可被全部获取，比如与服务端的通讯方式，加解密算法、密钥，转账业务流程、软键盘技术实现等等。 常见的移动应用攻击手段 动态调试 进程可被调试，可轻松获取、修改例如对方账户、姓名、金额等重要交易信息。 对于移动客户端，该风险可修改客户端业务操作时的数据，比如账号、金额等。 常见的移动应用攻击手段 篡改 客户端可篡改，可添加病毒代码、广告SDK；添加恶意代码窃取登录账号密码、支付密码、拦截验证码短信，修改转账目标账号、金额等等。 移动应用常见安全隐患 动态调试 代码注入 反编译 内容篡改 界面劫持 不安全键盘输入 下载内容获取 验证短信劫持 截屏