网信安全
移动APP 应用安全风险分析方法
与加固建议
李网灿丁晋
中国电信股份有限公司江苏分公司
摘要:目前移动APP 已成为手机端应用流量的人口,但由于移动APP 开发者安全风险意识淡薄,或出于恶意目的,移
eclipse开发手机app
动APP 应用违规收集、存储、使用个人信息的问题普通存在,为数不少的APP 存在超权限读写用户手机资料、文件、 通讯录,并且违规收集保存个人隐私信息的行为,对公民个人信息安全造成了极大的安全威胁。为此,江苏电信 通过移动APP 应用安全监测平台对接人的手机终端流量进行分析,本文则详细介绍了监测分析方法,并提出了安全加固建议。
关键词:移动APP 应用;安全风险;分析方法
〇引言
移动互联网时代,移动APP 应用安全风险越来越值得关注。
近年来,由移动APP 弓丨发的公民个人信息泄露事件时有发生,
包括短信、、通讯录被恶意读取、定位信息泄露、支付信
息被窃取等,造成了公民个人的隐私安全、财产安全、甚至人
身安全受得严重威胁。江苏电信通过移动APP 应用安全监测平
台对接人的手机终端流量进行分析,本文则详细介绍了监测分
析方法,并提出了安全力_建议。1移动应用主要安全风险国家计算机网络应急技术处理协调中心CNCERT 发布的 《2019年上半年我国互联网网络安全态势》报告指明,我国移 动APP 违法违规使用公民个人信息的问题非常严重,为数不少
的APP 存在违规收集、保存、使用个人隐私信息的行为。针对
以上乱象,2019年以来中共中央网络安全和信息化委员办公室
等四部委也开展了治理APP 专项行动。移动APP 的主要风险分
析如下:
1.1 A p p 应用安全风险
以AnctoW 操作系统为例,由于Android 开源的特殊性,客
户端的软件非常容易被篡改和反编译,没有进行过加壳保护的 APK ,可以通过以下五个小工具破解,植人木马后门,如图1
所示。apktool ② dex2jar ③ jd-gui 图1破解APK 的五个小工具(1 ) apktool : google 提供的APK 编译工具,用于逆向 APK 文件;(2)dex2jar :安卓反编译工具,可用于将dex 文件转换成 jar 文件;
(3 ) jd -gui : Java 编程语言源代码反编译软件;
(4 ) eclipse :基于Java 的可扩展开发平台;
(5 )签名软件:用于给编译后的APK 进行签名。
通过针对App 的破解和二次打包后,应用被破解后带来的
风险有:
(1) 在APK 中加人广告SDK 赚广告费。近两年恶意广告 数量增幅较大,用户每安装三个APP ,其中至少有一个包含了 广告。从恶意行为来看,恶意广告的趋利性更加明显。通过窃 取重要隐私信息、频繁推送广告、静默下载安装其他应用、拦 麵信等方式非法牟利。(2) 在APK 中加人木马后门等恶意程序,添加恶意游戏 链接等。(3) 支付中间人攻击,将正常链接修改为中间人链接,导 致用户向篡改的支付链接进行付费;(4) 违规收集、保存、使用公众隐私信息。窃密木马会启74 2020.6
|

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。