《金山手机毒霸,xx年第2季度安卓安全报告》由会员分享,可在线阅读,更多相关《金山手机毒霸,xx年第2季度安卓安全报告(11页珍藏版)》请在金锄头文库上搜索。
1、为了适应公司新战略的发展,保障停车场安保新项目的正常、顺利开展,特制定安保从业人员的业务技能及个人素质的培训计划金山手机毒霸,XX年第2季度安卓安全报告XX年度互联网安全威胁的主要特征1、安卓应用数量三年增长56倍,安卓病毒在所有应用中占7%安卓恶意软件主要通过刷机包和应用市场渠道传播,两种渠道大致接近于1:1。逐利的打包党在安卓恶意软件传播中起重要作用,几乎所有热门应用都会被打包党篡改。由国外安全厂商发现的安卓数字签名漏洞被打包党滥用,仅一周,利用该漏洞的安卓恶意软件就有数万个之多。2、传统电脑病毒仍然猖獗XX年全年收集可疑样本达亿个,比XX年增长倍。其中,鉴定为病毒的文件占到34%。XX年
2、日均中毒电脑台数在200万至500万之间,全年仍呈上升趋势。在移动互联网日趋火热的今天,危害Windows系统的传统病毒木马依然表现猖獗。3、安卓恶意广告与侵犯隐私安卓恶意广告在金山手机毒霸等软件的打击下,滥用通知栏弹出的情况明显减少。但安卓应用软件滥用系统权限的情况并无明显改善,金山手机毒霸分析了上百万款安卓应用,发现滥用手机定位和获取手机号码的应用软件超过一半,这些软件滥用系统权限与软件正常的功能毫无关联。一些手机后门可监听中毒手机短信和手机通话录音,可以实时定位手机地理位置,这类非法软件正在互联网非法销售,严重威胁安卓手机用户的隐私安全。4、钓鱼网站泛滥XX年,钓鱼网站持续快速增长,每天
3、有接近600万网民会访问各种不同类型的钓鱼网站,与网购有关的钓鱼网站对网民的威胁最为严重。值得注意的是,钓鱼网站已开始逐步影响手机网民。在手机或平板电脑上,钓鱼网站更加难以分辨,一旦错误地在钓鱼网站提交个人信息,就可能造成严重损失。5、“验证码”大盗的危害超过传统电脑网购木马“验证码”大盗会拦截与银行、支付网站有关的验证码短信,功能简单的“验证码大盗”并不能直接导致盗号或银行卡资金损失。小偷会通过其他渠道收集网民个人信息,与验证码大盗相结合,就能轻易盗窃网银资金。由于“验证码”大盗手机后门功能十分简单,开发门槛很低,而网民个人信息泄露的情况又十分严重。XX年下半年,该木马造成的影响已明显超过在
4、电脑上抢劫的网购木马。安全风险统计数据分享1、电脑病毒的感染情况XX年全年收集可疑文件样本亿个,比XX年的收集量4290万个增长181%,这利益于金山毒霸云安全系统的进一步完善,使得金山毒霸安全中心对可疑样本的捕获量大增。在这样巨大的样本量中,金山毒霸安全中心一共鉴定出病毒4126万个,病毒文件占总可疑文件收集量的34%。图1在金山毒霸安全中心收集的所有可疑文件中,鉴定为病毒的占34%XX年各月,每月捕获的电脑病毒在160万至580万个之间,平均每天11万个,在移动互联网越来越吸引更多注意力时,我们注意到电脑恶意软件仍然呈现持续增长的态势。图2XX年度金山毒霸安全中心捕获的病毒量按月统计XX年
5、,金山毒霸安全中心监测到恶意程序累计感染亿次,平均每天381万次。日均中毒电脑台数在200万至500万台之间,出乎观察家的预料,在移动互联网越来越受人们关注时,电脑病毒的感染量仍呈上升趋势。图3XX年病毒日均感染电脑台数2、安卓手机病毒的感染情况XX年,累计收集安卓可疑文件1248万个,平均每天收集样本超过万个。在1248万个样本中,鉴定出安卓病毒个,检出率为7%。图4在所有安卓可疑文件中,病毒检出率为7%XX年全年收集到的安卓可疑文件为XX年的倍,为XX年的56倍。三年里,安卓应用的数量呈现飞速增长。9月份,12321举报中心共收到举报手机应用安全问题(APP)35001件次,较上月上升了%
6、。去重之后涉及约22636个。经网秦、腾讯、金山毒霸等11个安全引擎过滤。从危害风险分析:被举报数据中14389个应用存在安全隐患,其中1258个应用存在高度风险;从恶意行为分析:1867个应用存在恶意行为,其中恶意扣费(%)、流氓行为(%)、隐私窃取(%)。APP的安全问题并不是一天两天了,只从安卓诞生以来,APP的危险就就没有消失过,安卓也因此总是被他的老对手iOS讽刺。安卓也一直想提升自身的安全性,可是由于安卓本身的特性,这个“梦想”一直没有实现。安卓的危险主要表现在以下三个方面。第一个原因就是签名机制问题,安卓上没有中央的签名机制,签名的原因造成现在安卓这个市场上二次打包的现象非常严重
7、。第二个原因是技术问题,安卓采用JAVA语言开发的,源码很容易泄露。第三个原因就是安卓的开放性,苹果控制了签名,使下载程序的来源变得单一,而在安卓上你可以在任何地方下载应用程序,其实安卓不安全的真正原因就是这个因素造成的。在这种情况下,我们还会经常碰到一些问题,现在会暴露一些服务器的漏洞。为了支持手机的客户端,新开发了一套接口,而这套接口没有经过调试,黑客仿编你的客户端,通过未调试的接口就会发现你后台有一些相关的漏洞,从而通过这种方式进行一些入侵。上面展示的数据触目惊心,很大一部分原因是APP市场中存在大量的盗版、翻版APP,看上去和正版一模一样,但是和正版一点关系都没有。如果用户因此而损失利
8、益,这个锅就要正版APP开发者来背。开发者需要保护APP安全开发者如何保护自己的APP在网上已经有很多大牛总结了许多方法,一些APP第三方加密平台如爱加密也总结了一套APP保护方案。第一个就是为移动APP做一次彻底的安全评估。安全评估是指由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵,其目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。渗透测试工作往往作为风险评估的一个重要环节,为风险评估提供重要的原始参考数据。第二个就是基于数据生命周期的安全测试,对手机银行客户端的程序、数据、通信、业务、系统环境等进行全面安全测试,检测数据
9、的输入、处理、输出以及数据运行时的系统环境的安全性。爱加密做了这些工具:反编译及重打包dex2jar、baksmali、IDApro、apktool;调试工具gdb等;代码注入工具Xposed、Substrate等;网络Burpsuite等。爱加密还做了一个测试内容,采用黑盒渗透攻击和白盒代码审计的方式发现移动应用的安全缺陷及安全漏洞,它包括七个方面的内容:程序安全,安装与卸载、人机交互、登陆检测、发布规范、第三方SDK安全等方面;代码安全,是否具有防逆向、防动态注入、防篡改等能力;数据安全,应用的数据录入、数据访问、数据存储、数据传输、数据显示是否存在安全风险;组件安全,移动应用暴露的组件是
10、否可以被恶意攻击;通信安全,检查客户端软件和服务器间的通信协议是否安全,能否被攻击;业务安全,移动应用的核心业务是否存在安全缺陷。例如银行客户端,针对转账的过程应进行安全性检测,检测是否有可能进行转账的篡改;系统安全移动应用的运行环境是否安全。第三个就是代码安全这一块。反编译测试,将二进制程序转换成人们易读的一种描述语言的形式,是逆向工程中的常见手段。反编译的结果是易读的代码,这样就暴露了客户端的所有逻辑,比如与服务端的通讯方式,加解密算法、密钥、转账业务流程、软键盘技术实现等等。重打包测试,对客户端程序添加或修改代码,修改客户端资源图片,配置信息,图标等,再生成新的客户端程序,实现应用钓鱼。
11、对金融客户端,可能添加病毒代码、广告SDK,推广自己的产品;添加恶意代码窃取登录账号密码、支付密码、拦截验证码短信,修改转账目标账号、金额等等。动态调试测试,指攻击者利用调试器跟踪目标程序运行,查看、修改内存代码和数据,分析程序逻辑,进行攻击和破解等行为。对于金融行业客户端,该风险可修改客户端业务操作时的数据,比如账号、金额等。代码注入测试,通过OS特定技术,将代码写入到目标进程并让其执行的技术。攻击者可以将一段恶意代码写到目标进程,这段代码可以加载其它可执行程序,进而实施hook,监控程序运行行为、获取敏感信息等。对于金融客户端,可通过代码注入技术,将恶意代码注入到客户端中,窃取输入的登录账
12、号、密码、支付密码,修改转账的目标账号、金额,窃取通讯数据等。金山手机毒霸工作原理作者:Jack_Jia一、序言金山手机(来自:写论文网:金山手机毒霸,XX年第2季度安卓安全报告)毒霸是金山网络推出的首款AndroidAPP行为管理软件,是首家拦截软件恶意广告、智能防御病毒行为、查杀最新病毒和自主管理高危隐私权限的安卓手机安全管理软件。它具有如下特色功能:1、有效清除软件内置广告,拦截软件恶意广告。2、依托于首创的Java虚拟机拦截技术,更精准更深入的拦截APP的高危行为。本文将对金山手机毒霸的进行简单的逆向分析,以达到了解其工作原理的目的。金山手机毒霸的最新版本为,但为了使我们的分析过程简单
13、高效,我们特意选择金山手机毒霸版本作为分析样本。博友可以通过如下链接下载。二、基本信息1、安装包关键路径文件信息libsrmeabi:resraw:其中、通过后缀名伪装成mp3文件,其实这三个文件为jar包。:htmlviewplaincopy1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.2、手机毒霸运行时涉及进程及进程组件分布通过对手机毒霸代码逆向分析及运行时进程状态变化,金山手机毒霸代码共在四类进程中被加载运行。进程广告扫描引擎、病毒扫描引擎、金山版本控制等逻辑都在该进程中运行,另外手机毒霸还在15997端口建立监听,PC端可以通过该TCP连接发送命令手机端毒霸扫描。目的-通过该培训员工可对保安行业有初步了解,并感受到安保行业的发展的巨大潜力,可提升其的专业水平,并确保其在这个行业的安全感。
