移動APP行業報告

移動APP已逐步滲透入我們的生活，據統計，20xx年，APP發行數量僅電商、金融、遊戲這三大類共計高達2萬左右，國內移動網際網路活躍使用者數已經突破10億，移動網際網路這樣快速的推移，移動網際網路的安全問題更為嚴峻。下文是小編收集的關於移動APP行業報告，歡迎閱讀!

移動APP安全行業現狀與導讀

移動APP已逐步滲透入我們的生活，據統計，20xx年，APP 發行數量僅電商、金融、遊戲這三大類共計高達2萬左右，國內移動網際網路活躍使用者數已經突破10億，移動網際網路這樣快速的推移，移動網際網路的安全問題更為嚴峻，基於騰訊雲樂固和騰訊平臺的大資料分析，整個移動應用開發者所面臨的安全問題主要涉及面有終端漏洞威脅，應用重打包威脅，應用仿冒威脅。

本移動APP安全行業報告將對金融、電商、遊戲三大重災區行業進行舉例分析並配以圖表說明，還原移動 APP 安全行業本貌。本期來看金融篇。

金融行業App安全現狀概述

據統計，20xx年金融行業移動 APP 使用者約為8億，20xx年使用者約增長至10億。

金融行業移動 APP 受漏洞影響如圖所示

高危佔比23%：資料傳輸不安全導致盜取使用者錢財損害平臺利益。

中危佔比40%：使用者敏感資訊洩露，應用被重打包後加入惡意程式碼和廣告。

低危佔比37%：應用崩潰，APP主要邏輯被逆向。

支付安全問題位列金融行業移動 APP 安全問題之首。

安全問題種類繁多，但其究竟是如何給廣大 APP 使用者造成危害的，我們選取一枚案例共同深入分析。

案例說話

1 客戶端與伺服器傳輸安全

中間人攻擊原理：中間人攻擊主要發生在客戶端與伺服器通訊過程中，黑客利用網路協議的漏洞，進行資料監聽資料竊取以及資料篡改等違法行為。

正常通訊過程如下所示 ：

在android的https協議中，若自定義的X509TrustManager不校驗證書或實現的自定義HostnameVerifier不校驗域名接受任意域名，就會觸發中間人攻擊漏洞。

非正常通訊過程如下圖所示：

樂固團隊分析發現大部分銀行和理財類APP，都存在此漏洞。

某銀行 APP 反編譯程式碼截圖

2 使用者輸入資料傳輸安全

使用者手機如果 root過，病毒軟體就可以通過監聽系統鍵盤或第三方輸入法等方式來獲取使用者輸入的資訊，並轉發到不法分子手中。

著名漏洞平臺上曾經曝光過著名輸入法的輸入漏洞。

某電商 APP 鍵盤記錄漏洞

3 本地資料安全

安卓 Shared Preferences 本地儲存方式是開發者常用的儲存本地資訊的方式，但在 root 過的手機上，黑客可以輕鬆查閱這些明文儲存的資訊。

而 android 自帶的 SQLite 資料庫，也是以明文的形式儲存在本地檔案中的。黑客同樣可以在 root 過的手機中檢視這些資訊。

講到移動電商，那要先說到什麼是電子商務了。電子商務網上概念都有：“是指買賣雙方基於網際網路進行各種商貿活動，實現消費者網上購物、 網上交易和線上支付以及各種金融活動和相關的綜合服務活動的商 業運營模式。”，傳統的電子商務是以PC機作為操作介面，也可以稱為有線電子商務。

而移動電子商務，與傳統電子商務區別主要有兩個：一個是它使用了智慧手機、PAD，掌上電腦等無線移動裝置進行電子商務，二是它使用因特網、移動通訊技術、短距離通訊技術及其它電子資訊科技相結合，完美的實現了隨時隨地，線上線下購物與交易。說白了就是，以前電子商務大家都坐在電腦前，進行商品的瀏覽、下單，再由線下物流配送。而隨著技術的發展，後面大家使用移動裝置，可以隨時隨地的進行購物，並且使用移動的一些特有技術，如：lbs,二維碼等技術加強了原來的某些消費環節的體驗。

好了，回到報告來，報告中指出了移動電商行業的四個主要觀點(引用原話哈)：

1、移動電商進入下半場：移動端流量紅利消失， 移動電商進入下半場角逐。

2、移動電商新勢力崛起：老牌成熟企業成功轉移至移動端，優勢依舊， 繼續領跑;垂直領域崛起移動電商新勢力。

3、個性化服務是新競爭點：核心競爭點從基礎服務 提供轉為個性化精準服務。

4、社交化和垂直經濟是趨勢：社交化、內容化、場景化是移動電商發展新趨勢;垂直領域、垂直使用者經 濟以及新模式創新為新機會點。

這裡的第一個觀點提到兩個內容，一個是移動電商進入下半場 ，另一個是移動端的流量紅利消失。第一個移動電商進入下半場，主要是從艾瑞資料研究發現整個電子商務市場的增長呈穩定增長的趨勢，20xx年中國電子商務市場交易規模20.2萬億元，增長23.6%，其中，網路購物佔比為23.3%。網路購物購依舊是零售的主流渠道，20xx年中國網路購物市場交易規模為4.7萬億元，佔社會消費品零售 14.2%，也就是說零售消費100元，有14.2元是來自網路購物。網路購物已進行移動消費時代，20xx年中國移動網購在整體網路購物交易規模中佔比達到68.2%，比去年增長22.8個百分點，移動端 已超過PC端成為網購市場更主要的消費場景。第二個移動端的流量紅利消失，移動電商探索存量增值，20xx年手機網民規模已達6.6億人，市場增量空間減少。

第二個觀點，可以發現老牌傳統的電商企業，成功轉移至移動端，而且勢頭依舊。像淘寶、京東這些企業從20xx年開始就在深耕電子商務。一些傳統業的一些新興移動電商企業也正在崛起，像母嬰行業的貝貝，紅孩子，生鮮行業的易果生鮮，家裝行業的土巴兔、家裝e站、齊家、愛空間、有住等。

除了傳統行業外，還有一些新興的業態，像微商、二手電商等。除了網路購物這個平臺在發展外，電子商務的其它環節也在不斷的完善，像支付環節，支付寶、微信、銀聯線上支付等都在慢慢被大眾所接受。物流的ems，韻達快運、順風速運等，(最近聽說順風也快要上市了，深入做好一個環節，也可以做強做大哈)。在傳統的這些環節外，一些新興的環節也應運而生，如：20xx年開始出現了幫助傳統電商企業進行 建站、物流、推廣等相應的的代理運營企業，通過具備營銷、產品、客服、供應鏈等全方面的知識，然後可以跟傳統企業銷售分成。還出現了一些專門為消費者進行導購的網站，幫助引導消費者進行消費。(圖五)可以看到傳統的企業在垂直行業做大，代表了電商未來的新勢力(圖六)。

電商行業 APP 安全問題

解決方案

隨著網際網路的蓬勃發展，網購已經成為居民生活消費不可獲取的重要部分。除了移動應用通用安全問題外，電商 APP 在業務安全方面存在的問題較大，騰訊雲樂固針對電商 APP 提供了定製的安全解決方案。

1.支付安全解決方案

採用高度定製的安全鍵盤，嚴格的雙認證傳輸通道，確保輸入資料安全以及輸入層到傳輸層的資料安全，有效防止截圖、輸入資訊竊取等威脅。

2.應用安全解決方案

樂固安全產品在原始碼、資原始檔、執行時記憶體、逆向破解等方面對電商 APP 進行全方位保護。

3.業務安全解決方案

在 APP 整合簡訊驗證碼安全 SDK，與騰訊雲樂固&天御防刷後臺配合，有效防止批量註冊、掃號以及“薅羊毛”等惡意行為，避免企業被刷帶來的巨大經濟損失。

小結

對抗“羊毛黨”，根源上是識別使用者是否真實，是否可靠。電商平臺需從多維度去鑑別、過濾。

遊戲行業移動 APP安全

現狀圖示

據統計，20xx年遊戲類移動 APP 款數約2.6萬，20xx年遊戲類移動 APP 款數約1.5萬，20xx年相比20xx年增長約73%。

高危佔比29.9%：遊戲客戶端與伺服器資料傳輸不安全導致遊戲資料可篡改、可洩露等;

中危佔比29.2%：遊戲客戶端本地存檔資料未加密，導致存檔可篡改、隱私洩露;

低危佔比40.9%：應用記憶體在部分邏輯不嚴謹，導致在某些情況下應用崩潰。

遊戲行業移動 APP 安全問題

案例說話——重打包

如同傳統的網際網路黑產一樣，手機遊戲黑產主要目的是獲取非法收益，其手法多種多樣，主要包括插入惡意程式碼、插入廣告、破解等。

首先，插入惡意程式碼主要的方法是黑客對下載的遊戲安裝包進行反編譯，在其中加入惡意程式碼，再將遊戲重新打包為安裝包，進行二次釋出。相對於原始遊戲應用，插入惡意程式碼的遊戲應用可以進行惡意扣費、讀取使用者的隱私資料、破壞使用者的裝置，極大損害遊戲廠商與遊戲玩家的利益;

其次，插入廣告作為獲取收入的最直接方式，經常出現在手機遊戲應用中。普通使用者可能不知道這些廣告中大部分來自於“打包黨”的二次插入，“打包黨”們通過反編譯工具嚮應用中插入廣告程式碼與相關配置，再在第三方應用市場、論壇釋出;

最後，破解作為直接破壞遊戲平衡性的最佳方法一直是遊戲開發者深惡痛絕的一種安全問題。眾所周知，很大一部分遊戲的收入來自於遊戲中出售的虛擬物品，而黑客可以使用反編譯的手段修改遊戲邏輯程式碼繞過付費驗證邏輯，達到不付費即可體驗遊戲收費功能的目的。這不僅損害了遊戲廠商的利益，更破壞了整個遊戲體系的平衡，對整個遊戲運營系統是暴擊。

與此同時，部分渠道被重打包的盜版遊戲程式碼內除了遊戲本身的邏輯程式碼外還包含了一些傳送簡訊的惡意程式碼，相關的模組在原始的正版應用中並不存在，如下圖：

遊戲行業移動 APP 所遇安全問題

案例說話——外掛

外掛作為破壞遊戲平衡性的常規手段對單機遊戲與網路遊戲均具備較大的破壞力，對於單機遊戲來說，外掛可以協助玩家以較低成本完成遊戲，破壞遊戲本身的平衡性與可玩性;對於網路遊戲來說，外掛在破壞遊戲平衡性的同時也會增加伺服器端的計算壓力。也正因為外掛對於遊戲的破壞力驚人，外掛通常被遊戲開發者、運營商認定為主要安全問題。

騰訊雲樂固團隊對市場上比較流行的一款消除類遊戲進行調查發現，該遊戲外掛以輔助工具的名義存在於各大遊戲論壇中，其使用方法簡單粗暴，並且配以圖文教程。其主要手段是提示消除路徑、增加道具使用次數、篡改消除單元排列，通過這些“輔助”方法，遊戲難度大大降低，遊戲平衡性蕩然無存。

下圖是篡改消除單元排列的效果圖：

遊戲行業移動 APP 安全問題

解決方案

通過上文的分析可以看出，手遊行業所存在的安全問題主要包括重打包與外掛兩大類，騰訊雲樂固推出一套完善的移動遊戲安全解決方案。

1.遊戲反重打包解決方案

針對手機遊戲行業中存在的插入惡意程式碼、插入廣告、破解等問題，樂固制定了高強度的反重打包方案。在遊戲開發者完成開發後，樂固對遊戲安裝包進行反重打包處理，處理後的遊戲安裝包內的任何程式碼、資原始檔發生改動均無法正常運行遊戲。

2.遊戲反外掛解決方案

針對市場上出現的外掛進行分類對抗，提高遊戲對外掛的免疫力，保護遊戲平衡性。

移動 APP 安全行業現狀總結

移動 APP 在安全方面存在較多的問題，並且問題分佈與應用所在的行業具有密切的關係。比如金融行業的 APP 主要存在的安全問題大都跟資料相關，包括通訊資料安全、本地資料儲存安全、執行時資料安全等;電商行業的APP對註冊、登入、賬戶密碼安全相關的方面需求更為強烈，包括密碼撞庫、業務防刷、密碼洩漏等;遊戲類APP所存在的安全問題根據遊戲型別的不同而千差萬別，但究其本質主要包括重打包、外掛兩大類。

對於APP開發團隊來說，在複雜的外部環境中保護團隊的開發成果是必要的，應儘可能採取針對行業的專業安全解決方案防範安全問題的出現。

對於APP使用者來說，使用盜版應用存在的風險較大，建議從正規的應用市場下載應用。

移動 APP 安全行業報告暫告一段落。在移動 APP 安全方向我們將繼續推出技術揭祕系列文章。