移動(dòng)APP已逐步滲透入我們的生活，據(jù)統(tǒng)計(jì)，2016年，APP發(fā)行數(shù)量僅電商、金融、游戲這三大類共計(jì)高達(dá)2萬左右，國內(nèi)移動(dòng)互聯(lián)網(wǎng)活躍用戶數(shù)已經(jīng)突破10億，移動(dòng)互聯(lián)網(wǎng)這樣快速的推移，移動(dòng)互聯(lián)網(wǎng)的安全問題更為嚴(yán)峻。下文是小編收集的關(guān)于移動(dòng)APP行業(yè)報(bào)告，歡迎閱讀!

　　移動(dòng)APP行業(yè)報(bào)告一

　　移動(dòng)APP安全行業(yè)現(xiàn)狀與導(dǎo)讀

　　移動(dòng)APP已逐步滲透入我們的生活，據(jù)統(tǒng)計(jì)，2016年，APP 發(fā)行數(shù)量僅電商、金融、游戲這三大類共計(jì)高達(dá)2萬左右，國內(nèi)移動(dòng)互聯(lián)網(wǎng)活躍用戶數(shù)已經(jīng)突破10億，移動(dòng)互聯(lián)網(wǎng)這樣快速的推移，移動(dòng)互聯(lián)網(wǎng)的安全問題更為嚴(yán)峻，基于騰訊云樂固和騰訊平臺(tái)的大數(shù)據(jù)分析，整個(gè)移動(dòng)應(yīng)用開發(fā)者所面臨的安全問題主要涉及面有終端漏洞威脅，應(yīng)用重打包威脅，應(yīng)用仿冒威脅。

　　本移動(dòng)APP安全行業(yè)報(bào)告將對(duì)金融、電商、游戲三大重災(zāi)區(qū)行業(yè)進(jìn)行舉例分析并配以圖表說明，還原移動(dòng) APP 安全行業(yè)本貌。本期來看金融篇。

　　金融行業(yè)App安全現(xiàn)狀概述

　　據(jù)統(tǒng)計(jì)，2015年金融行業(yè)移動(dòng) APP 用戶約為8億，2016年用戶約增長至10億。

　　金融行業(yè)移動(dòng) APP 受漏洞影響如圖所示

　　高危占比23%：數(shù)據(jù)傳輸不安全導(dǎo)致盜取用戶錢財(cái)損害平臺(tái)利益。

　　中危占比40%：用戶敏感信息泄露，應(yīng)用被重打包后加入惡意代碼和廣告。

　　低危占比37%：應(yīng)用崩潰，APP主要邏輯被逆向。

　　支付安全問題位列金融行業(yè)移動(dòng) APP 安全問題之首。

　　安全問題種類繁多，但其究竟是如何給廣大 APP 用戶造成危害的，我們選取一枚案例共同深入分析。

　　案例說話

　　1 客戶端與服務(wù)器傳輸安全

　　中間人攻擊原理：中間人攻擊主要發(fā)生在客戶端與服務(wù)器通信過程中，黑客利用網(wǎng)絡(luò)協(xié)議的漏洞，進(jìn)行數(shù)據(jù)監(jiān)聽數(shù)據(jù)竊取以及數(shù)據(jù)篡改等違法行為。

　　正常通信過程如下所示 ：

　　在android的https協(xié)議中，若自定義的X509TrustManager不校驗(yàn)證書或?qū)崿F(xiàn)的自定義HostnameVerifier不校驗(yàn)域名接受任意域名，就會(huì)觸發(fā)中間人攻擊漏洞。

　　非正常通信過程如下圖所示：

　　樂固團(tuán)隊(duì)分析發(fā)現(xiàn)大部分銀行和理財(cái)類APP，都存在此漏洞。

　　某銀行 APP 反編譯代碼截圖

　　2 用戶輸入數(shù)據(jù)傳輸安全

　　用戶手機(jī)如果 root過，病毒軟件就可以通過監(jiān)聽系統(tǒng)鍵盤或第三方輸入法等方式來獲取用戶輸入的信息，并轉(zhuǎn)發(fā)到不法分子手中。

　　著名漏洞平臺(tái)上曾經(jīng)曝光過著名輸入法的輸入漏洞。

　　某電商 APP 鍵盤記錄漏洞

　　3 本地?cái)?shù)據(jù)安全

　　安卓 Shared Preferences 本地存儲(chǔ)方式是開發(fā)者常用的存儲(chǔ)本地信息的方式，但在 root 過的手機(jī)上，黑客可以輕松查閱這些明文保存的信息。

　　而 android 自帶的 SQLite 數(shù)據(jù)庫，也是以明文的形式存儲(chǔ)在本地文件中的。黑客同樣可以在 root 過的手機(jī)中查看這些信息。

　　移動(dòng)APP行業(yè)報(bào)告二

　　講到移動(dòng)電商，那要先說到什么是電子商務(wù)了。電子商務(wù)網(wǎng)上概念都有：“是指買賣雙方基于互聯(lián)網(wǎng)進(jìn)行各種商貿(mào)活動(dòng)，實(shí)現(xiàn)消費(fèi)者網(wǎng)上購物、 網(wǎng)上交易和在線支付以及各種金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的商 業(yè)運(yùn)營模式。”，傳統(tǒng)的電子商務(wù)是以PC機(jī)作為操作界面，也可以稱為有線電子商務(wù)。

　　而移動(dòng)電子商務(wù)，與傳統(tǒng)電子商務(wù)區(qū)別主要有兩個(gè)：一個(gè)是它使用了智能手機(jī)、PAD，掌上電腦等無線移動(dòng)設(shè)備進(jìn)行電子商務(wù)，二是它使用因特網(wǎng)、移動(dòng)通信技術(shù)、短距離通信技術(shù)及其它電子信息技術(shù)相結(jié)合，完美的實(shí)現(xiàn)了隨時(shí)隨地，線上線下購物與交易。說白了就是，以前電子商務(wù)大家都坐在電腦前，進(jìn)行商品的瀏覽、下單，再由線下物流配送。而隨著技術(shù)的發(fā)展，后面大家使用移動(dòng)設(shè)備，可以隨時(shí)隨地的進(jìn)行購物，并且使用移動(dòng)的一些特有技術(shù)，如：lbs,二維碼等技術(shù)加強(qiáng)了原來的某些消費(fèi)環(huán)節(jié)的體驗(yàn)。

　　好了，回到報(bào)告來，報(bào)告中指出了移動(dòng)電商行業(yè)的四個(gè)主要觀點(diǎn)(引用原話哈)：

　　1、移動(dòng)電商進(jìn)入下半場：移動(dòng)端流量紅利消失， 移動(dòng)電商進(jìn)入下半場角逐。

　　2、移動(dòng)電商新勢力崛起：老牌成熟企業(yè)成功轉(zhuǎn)移至移動(dòng)端，優(yōu)勢依舊， 繼續(xù)領(lǐng)跑;垂直領(lǐng)域崛起移動(dòng)電商新勢力。

　　3、個(gè)性化服務(wù)是新競爭點(diǎn)：核心競爭點(diǎn)從基礎(chǔ)服務(wù) 提供轉(zhuǎn)為個(gè)性化精準(zhǔn)服務(wù)。

　　4、社交化和垂直經(jīng)濟(jì)是趨勢：社交化、內(nèi)容化、場景化是移動(dòng)電商發(fā)展新趨勢;垂直領(lǐng)域、垂直用戶經(jīng) 濟(jì)以及新模式創(chuàng)新為新機(jī)會(huì)點(diǎn)。

　　這里的第一個(gè)觀點(diǎn)提到兩個(gè)內(nèi)容，一個(gè)是移動(dòng)電商進(jìn)入下半場 ，另一個(gè)是移動(dòng)端的流量紅利消失。第一個(gè)移動(dòng)電商進(jìn)入下半場，主要是從艾瑞數(shù)據(jù)研究發(fā)現(xiàn)整個(gè)電子商務(wù)市場的增長呈穩(wěn)定增長的趨勢，2016年中國電子商務(wù)市場交易規(guī)模20.2萬億元，增長23.6%，其中，網(wǎng)絡(luò)購物占比為23.3%。網(wǎng)絡(luò)購物購依舊是零售的主流渠道，2016年中國網(wǎng)絡(luò)購物市場交易規(guī)模為4.7萬億元，占社會(huì)消費(fèi)品零售 14.2%，也就是說零售消費(fèi)100元，有14.2元是來自網(wǎng)絡(luò)購物。網(wǎng)絡(luò)購物已進(jìn)行移動(dòng)消費(fèi)時(shí)代，2016年中國移動(dòng)網(wǎng)購在整體網(wǎng)絡(luò)購物交易規(guī)模中占比達(dá)到68.2%，比去年增長22.8個(gè)百分點(diǎn)，移動(dòng)端 已超過PC端成為網(wǎng)購市場更主要的消費(fèi)場景。第二個(gè)移動(dòng)端的流量紅利消失，移動(dòng)電商探索存量增值，2016年手機(jī)網(wǎng)民規(guī)模已達(dá)6.6億人，市場增量空間減少。

　　第二個(gè)觀點(diǎn)，可以發(fā)現(xiàn)老牌傳統(tǒng)的電商企業(yè)，成功轉(zhuǎn)移至移動(dòng)端，而且勢頭依舊。像淘寶、京東這些企業(yè)從2000年開始就在深耕電子商務(wù)。一些傳統(tǒng)業(yè)的一些新興移動(dòng)電商企業(yè)也正在崛起，像母嬰行業(yè)的貝貝，紅孩子，生鮮行業(yè)的易果生鮮，家裝行業(yè)的土巴兔、家裝e站、齊家、愛空間、有住等。

　　除了傳統(tǒng)行業(yè)外，還有一些新興的業(yè)態(tài)，像微商、二手電商等。除了網(wǎng)絡(luò)購物這個(gè)平臺(tái)在發(fā)展外，電子商務(wù)的其它環(huán)節(jié)也在不斷的完善，像支付環(huán)節(jié)，支付寶、微信、銀聯(lián)在線支付等都在慢慢被大眾所接受。物流的ems，韻達(dá)快運(yùn)、順風(fēng)速運(yùn)等，(最近聽說順風(fēng)也快要上市了，深入做好一個(gè)環(huán)節(jié)，也可以做強(qiáng)做大哈)。在傳統(tǒng)的這些環(huán)節(jié)外，一些新興的環(huán)節(jié)也應(yīng)運(yùn)而生，如：2005年開始出現(xiàn)了幫助傳統(tǒng)電商企業(yè)進(jìn)行 建站、物流、推廣等相應(yīng)的的代理運(yùn)營企業(yè)，通過具備營銷、產(chǎn)品、客服、供應(yīng)鏈等全方面的知識(shí)，然后可以跟傳統(tǒng)企業(yè)銷售分成。還出現(xiàn)了一些專門為消費(fèi)者進(jìn)行導(dǎo)購的網(wǎng)站，幫助引導(dǎo)消費(fèi)者進(jìn)行消費(fèi)。(圖五)可以看到傳統(tǒng)的企業(yè)在垂直行業(yè)做大，代表了電商未來的新勢力(圖六)。

　　移動(dòng)APP行業(yè)報(bào)告三

　　電商行業(yè) APP 安全問題

　　解決方案

　　隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，網(wǎng)購已經(jīng)成為居民生活消費(fèi)不可獲取的重要部分。除了移動(dòng)應(yīng)用通用安全問題外，電商 APP 在業(yè)務(wù)安全方面存在的問題較大，騰訊云樂固針對(duì)電商 APP 提供了定制的安全解決方案。

　　1.支付安全解決方案

　　采用高度定制的安全鍵盤，嚴(yán)格的雙認(rèn)證傳輸通道，確保輸入數(shù)據(jù)安全以及輸入層到傳輸層的數(shù)據(jù)安全，有效防止截屏、輸入信息竊取等威脅。

　　2.應(yīng)用安全解決方案

　　樂固安全產(chǎn)品在源碼、資源文件、運(yùn)行時(shí)內(nèi)存、逆向破解等方面對(duì)電商 APP 進(jìn)行全方位保護(hù)。

　　3.業(yè)務(wù)安全解決方案

　　在 APP 集成短信驗(yàn)證碼安全 SDK，與騰訊云樂固&天御防刷后臺(tái)配合，有效防止批量注冊、掃號(hào)以及“薅羊毛”等惡意行為，避免企業(yè)被刷帶來的巨大經(jīng)濟(jì)損失。

　　小結(jié)

　　對(duì)抗“羊毛黨”，根源上是識(shí)別用戶是否真實(shí)，是否可靠。電商平臺(tái)需從多維度去鑒別、過濾。

　　游戲行業(yè)移動(dòng) APP安全

　　現(xiàn)狀圖示

　　據(jù)統(tǒng)計(jì)，2016年游戲類移動(dòng) APP 款數(shù)約2.6萬，2015年游戲類移動(dòng) APP 款數(shù)約1.5萬，2016年相比2015年增長約73%。

　　高危占比29.9%：游戲客戶端與服務(wù)器數(shù)據(jù)傳輸不安全導(dǎo)致游戲數(shù)據(jù)可篡改、可泄露等;

　　中危占比29.2%：游戲客戶端本地存檔數(shù)據(jù)未加密，導(dǎo)致存檔可篡改、隱私泄露;

　　低危占比40.9%：應(yīng)用內(nèi)存在部分邏輯不嚴(yán)謹(jǐn)，導(dǎo)致在某些情況下應(yīng)用崩潰。

　　游戲行業(yè)移動(dòng) APP 安全問題

　　案例說話——重打包

　　如同傳統(tǒng)的互聯(lián)網(wǎng)黑產(chǎn)一樣，手機(jī)游戲黑產(chǎn)主要目的是獲取非法收益，其手法多種多樣，主要包括插入惡意代碼、插入廣告、破解等。

　　首先，插入惡意代碼主要的方法是黑客對(duì)下載的游戲安裝包進(jìn)行反編譯，在其中加入惡意代碼，再將游戲重新打包為安裝包，進(jìn)行二次發(fā)布。相對(duì)于原始游戲應(yīng)用，插入惡意代碼的游戲應(yīng)用可以進(jìn)行惡意扣費(fèi)、讀取用戶的隱私數(shù)據(jù)、破壞用戶的設(shè)備，極大損害游戲廠商與游戲玩家的利益;

　　其次，插入廣告作為獲取收入的最直接方式，經(jīng)常出現(xiàn)在手機(jī)游戲應(yīng)用中。普通用戶可能不知道這些廣告中大部分來自于“打包黨”的二次插入，“打包黨”們通過反編譯工具向應(yīng)用中插入廣告代碼與相關(guān)配置，再在第三方應(yīng)用市場、論壇發(fā)布;

　　最后，破解作為直接破壞游戲平衡性的最佳方法一直是游戲開發(fā)者深惡痛絕的一種安全問題。眾所周知，很大一部分游戲的收入來自于游戲中出售的虛擬物品，而黑客可以使用反編譯的手段修改游戲邏輯代碼繞過付費(fèi)驗(yàn)證邏輯，達(dá)到不付費(fèi)即可體驗(yàn)游戲收費(fèi)功能的目的。這不僅損害了游戲廠商的利益，更破壞了整個(gè)游戲體系的平衡，對(duì)整個(gè)游戲運(yùn)營系統(tǒng)是暴擊。

　　與此同時(shí)，部分渠道被重打包的盜版游戲代碼內(nèi)除了游戲本身的邏輯代碼外還包含了一些發(fā)送短信的惡意代碼，相關(guān)的模塊在原始的正版應(yīng)用中并不存在，如下圖：

　　游戲行業(yè)移動(dòng) APP 所遇安全問題

　　案例說話——外掛

　　外掛作為破壞游戲平衡性的常規(guī)手段對(duì)單機(jī)游戲與網(wǎng)絡(luò)游戲均具備較大的破壞力，對(duì)于單機(jī)游戲來說，外掛可以協(xié)助玩家以較低成本完成游戲，破壞游戲本身的平衡性與可玩性;對(duì)于網(wǎng)絡(luò)游戲來說，外掛在破壞游戲平衡性的同時(shí)也會(huì)增加服務(wù)器端的計(jì)算壓力。也正因?yàn)橥鈷鞂?duì)于游戲的破壞力驚人，外掛通常被游戲開發(fā)者、運(yùn)營商認(rèn)定為主要安全問題。

　　騰訊云樂固團(tuán)隊(duì)對(duì)市場上比較流行的一款消除類游戲進(jìn)行調(diào)查發(fā)現(xiàn)，該游戲外掛以輔助工具的名義存在于各大游戲論壇中，其使用方法簡單粗暴，并且配以圖文教程。其主要手段是提示消除路徑、增加道具使用次數(shù)、篡改消除單元排列，通過這些“輔助”方法，游戲難度大大降低，游戲平衡性蕩然無存。

　　下圖是篡改消除單元排列的效果圖：

　　游戲行業(yè)移動(dòng) APP 安全問題

　　解決方案

　　通過上文的分析可以看出，手游行業(yè)所存在的安全問題主要包括重打包與外掛兩大類，騰訊云樂固推出一套完善的移動(dòng)游戲安全解決方案。

　　1.游戲反重打包解決方案

　　針對(duì)手機(jī)游戲行業(yè)中存在的插入惡意代碼、插入廣告、破解等問題，樂固制定了高強(qiáng)度的反重打包方案。在游戲開發(fā)者完成開發(fā)后，樂固對(duì)游戲安裝包進(jìn)行反重打包處理，處理后的游戲安裝包內(nèi)的任何代碼、資源文件發(fā)生改動(dòng)均無法正常運(yùn)行游戲。

　　2.游戲反外掛解決方案

　　針對(duì)市場上出現(xiàn)的外掛進(jìn)行分類對(duì)抗，提高游戲?qū)ν鈷斓拿庖吡?，保護(hù)游戲平衡性。

　　移動(dòng) APP 安全行業(yè)現(xiàn)狀總結(jié)

　　移動(dòng) APP 在安全方面存在較多的問題，并且問題分布與應(yīng)用所在的行業(yè)具有密切的關(guān)系。比如金融行業(yè)的 APP 主要存在的安全問題大都跟數(shù)據(jù)相關(guān)，包括通訊數(shù)據(jù)安全、本地?cái)?shù)據(jù)存儲(chǔ)安全、運(yùn)行時(shí)數(shù)據(jù)安全等;電商行業(yè)的APP對(duì)注冊、登錄、賬戶密碼安全相關(guān)的方面需求更為強(qiáng)烈，包括密碼撞庫、業(yè)務(wù)防刷、密碼泄漏等;游戲類APP所存在的安全問題根據(jù)游戲類型的不同而千差萬別，但究其本質(zhì)主要包括重打包、外掛兩大類。

　　對(duì)于APP開發(fā)團(tuán)隊(duì)來說，在復(fù)雜的外部環(huán)境中保護(hù)團(tuán)隊(duì)的開發(fā)成果是必要的，應(yīng)盡可能采取針對(duì)行業(yè)的專業(yè)安全解決方案防范安全問題的出現(xiàn)。

　　對(duì)于APP用戶來說，使用盜版應(yīng)用存在的風(fēng)險(xiǎn)較大，建議從正規(guī)的應(yīng)用市場下載應(yīng)用。

　　移動(dòng) APP 安全行業(yè)報(bào)告暫告一段落。在移動(dòng) APP 安全方向我們將繼續(xù)推出技術(shù)揭秘系列文章。


看了“移動(dòng)APP行業(yè)報(bào)告”還看了：

1.app應(yīng)用市場分析

2.手機(jī)應(yīng)用市場分析

3.移動(dòng)網(wǎng)絡(luò)創(chuàng)業(yè)項(xiàng)目

4.app市場風(fēng)險(xiǎn)分析

5.移動(dòng)app營銷成功案例