移动应用安全隐患重重,App加固势在必行,河北梆梆安全保卫智能生活

 工信部公布35款不良手机应用

随着移动互联网时代的到来,智能手机、平板电脑等各种便携移动设备已经充斥了人们的生产生活方方面面,各种移动应用迅速覆盖了包括衣食住行、工作生活,理财娱乐等各个领域。然而与此同时,系统漏洞、App安全问题日益彰显,诸如手机吸费、隐私数据窃取以及各类支付风险、强制广告、病毒植入等威胁着人们的正常生活

移动应用安全现状

不法分子利用应用程序窃取用户信息并进行恶意营销、诈骗和黑色利益链交易已经成为当今网络安全中面临的重要问题。这不仅需要手机用户自己加强判断,更需要政府、运营商、开发者、安全厂商以及手机制造商的合力才行。

虽然各大安全厂商不断将自己的软件和查杀方法推陈出新,但正所谓“道高一尺,魔高一丈”。手机病毒的隐蔽性,危害以及反查杀手段也在不断更新。在安全厂商手段升级的同时,这些恶意开发者也会立即做出反应,并做出新的规避方法。这也使得现在的安全市场形成了一种拉锯战的态势。

木马病毒泛滥移动互联网安全形势严峻

据CNCERT(国家互联网应急中心)发布的数据显示,截止到2015年,我国移动互联网的恶意代码数量已经达到了22万行。比前年增加了25倍之多。由于苹果的iOS属于闭环系统,所以这些恶意程序主要集中在Android和其他系统平台之上,而前者又占据了总数的82.5%。如此大量的恶意开发者之所以瞄准Android,主要也是因为其开放性和利益驱动使然。

由于缺少严格、完善的审核机制,再加上各大下载市场、ROM、刷机、论坛等渠道的畅通,这些恶意应用获得了生存的土壤。据DCCI的报告显示,有超过96%的用户遇到过移动安全问题。另外在下载的过程当中,由于手机浏览器的普及,有大概4%的木马病毒借此传播。据相关数据显示,和2014年相比,仅2015年上半年,新增的样本病毒数就已经超过2014年近2倍之多。

常见的移动应用攻击手段有静态攻击与动态攻击。

静态攻击:

  1. 代码反编译,客户端业务逻辑可被全部获取,比如与服务端的通讯方式,加解密算法、密钥,转账业务流程、软键盘技术实现等等;
  2. 篡改,通过二次打包,在原有应用中添加:广告SDK、诈骗信息、病毒代码、恶意代码……
  3. 二次打包,监控手机收发短信,将用户短信同时存储到本地数据库,同时偷偷发送用户账户信息到指定的手机号码,进一步删除用户短信内容会话,掩盖作案线索。

动态攻击:

  1. 进程可被调试,可轻松获取、修改例如对方账户、姓名、金额等重要交易信息。对于移动客户端,该风险可修改客户端业务操作时的数据,比如账号、金额等。
  2. 动态注入:在真实的攻击案例中,服务器回执数据也会被篡改,用户看到的服务器回执确认信息仍然是最初的界面输入信息,用户彻底无法察觉!
  3. 移动金融风险案例—远程执行:国内某手机银行WebView SDK XSS跨栈漏洞导致手机被远程控制,进行拨打电话、发送短信、打开相机等功能。

移动应用前景广阔,App加固势在必行

目前我国智能手机的出货量已经超过了4亿部,数亿的移动互联网用户暴露在病毒攻击的范围之内,也使得手机安全形势更加不容乐观。

虽然不断增长的手机用户让恶意软件获得了更多的生存的机会,但同时也使得安全厂商获得了用武之地。河北梆梆核心战略合作伙伴梆梆安全是国际App安全服务的权威平台,可以有效地防止App被恶意反编译篡改二次打包,独有的第五代加密保护技术:SDK加固、APK加固、源码加固,高级混淆保护,可以保证App的动态安全和静态安全,黑客将没有机会进行任何方式破解。梆梆安全还针对不同行业类型的App提供不同的加密安全保护解决方案,以满足不同企业对App安全的要求。


资料收集:国家互联网应急中心、梆梆安全

河北梆梆综合整理

 

上一篇:

下一篇:

相关新闻

联系我们

0311-68099866

在线咨询:

点击这里给我发消息

邮件:

工作时间:周一至周五,9:30-18:30,节假日休息

QR code