移动 APP 已逐步渗透入我们的生活，据统计，2016年，APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右，国内移动互联网活跃用户数已经突破10亿，移动互联网这样快速的推移，移动互联网的安全问题更为严峻，基于腾讯云乐固和腾讯平台的大数据分析，整个移动应用开发者所面临的安全问题主要涉及面有终端漏洞威胁，应用重打包威胁，应用仿冒威胁。

　　本移动 APP 安全行业报告将对金融、电商、游戏三大重灾区行业进行举例分析并配以图表说明，还原移动 APP 安全行业本貌。本期来看金融篇。

　　金融行业移动 APP安全

　　现状概述

　　据统计，2015年金融行业移动 APP 用户约为8亿，2016年用户约增长至10亿。

（金融行业移动 APP 受漏洞影响如图所示）

　　高危占比23%：数据传输不安全导致盗取用户钱财损害平台利益。

　　中危占比40%：用户敏感信息泄露，应用被重打包后加入恶意代码和广告。

　　低危占比37%：应用崩溃，APP主要逻辑被逆向。

　　支付安全问题位列金融行业移动 APP 安全问题之首。

　　安全问题种类繁多，但其究竟是如何给广大 APP 用户造成危害的，我们选取一枚案例共同深入分析。

　　金融行业移动 APP 所遇到的安全问题

　　案例说话

　　1.客户端与服务器传输安全

　　中间人攻击原理：中间人攻击主要发生在客户端与服务器通信过程中，黑客利用网络协议的漏洞，进行数据监听数据窃取以及数据篡改等违法行为。

　　正常通信过程如下所示：

　　在android的https协议中，若自定义的X509TrustManager不校验证书或实现的自定义HostnameVerifier不校验域名接受任意域名，就会触发中间人攻击漏洞。

　　非正常通信过程如下图所示：

　　乐固团队分析发现大部分银行和理财类APP，都存在此漏洞。

（某银行 APP反编译代码截图）

　　2.用户输入数据传输安全

　　用户手机如果 root过，病毒软件就可以通过监听系统键盘或第三方输入法等方式来获取用户输入的信息，并转发到不法分子手中。

　　著名漏洞平台上曾经曝光过著名输入法的输入漏洞。

（某电商 APP键盘记录漏洞）

　　3.本地数据安全

　　安卓 Shared Preferences 本地存储方式是开发者常用的存储本地信息的方式，但在 root 过的手机上，黑客可以轻松查阅这些明文保存的信息。

　　而 android 自带的 SQLite 数据库，也是以明文的形式存储在本地文件中的。黑客同样可以在 root 过的手机中查看这些信息。

（手机里存储的明文文件）

　　金融行业移动 APP 安全问题

　　解决方案

　　1.安全支付解决方案

　　采用高强度的加密键盘，严格的双认证传输通道，从输入层到传输层保护了每一笔交易每一次数据传输的安全。

　　2.本地安全存储方案

　　对本地文件进行加密保护。防止本地文件被窃取盗用的风险。

　　3.高级 APP 安全防护方案

　　能在 APP 代码层面进行加密加花，可防破解，防盗版，防注入，防调试等。

　　4.安全身份认证体系

　　专为金融客户量身打造，包括人脸核身，短信认证等多重方案。可帮助金融客户在身份认证这一层打击不法分子。

　　电商行业移动 APP安全

　　现状概述

　　2016年移动电商APP总用户数量约6.3亿，其中约2.7亿用户遭受过不同程度安全问题，atv直播，占比约43%。

（电商行业移动 APP 受漏洞影响如图所示）

　　高危占比14%：数据传输不安全导致用户订单泄露、篡改。

　　中危占比55%：本地数据存储不安全、用户隐私泄露。

　　低危占比29%：APP 业务逻辑被破解、算法剽窃。

　　支付安全问题依旧位列电商行业移动 APP 安全问题之首，而被“薅羊毛”问题当属电商行业移动 APP 安全问题的代表。

　　本篇报告我们针对电商行业移动 APP 代表性安全问题——被“薅羊毛”共同深入分析。

　　电商行业移动 APP 所遇安全问题

　　图示说话

　　与传统零售相比，用户网购体验流程区别较大，基本遵循下图所示的网购流程。

（网购流程图）

　　每一个环节都可能引致重大的安全问题，电商 APP 也不例外。下面谈谈网购流程中较容易出现安全问题的三个环节：

　　1.账号注册-登录