如何完成一份像样的互联网金融APP安全检测报告 2016年07月14日 朱易翔 移动互联网系统与应用安全国家工程实验室 关于移动互联网系统与应用安全国家工程实验室（1/2） p 批复时间：2013年11月（发改办高技[2013]2685号） p 建设地点：上海浦东、江苏南京 p 法人单位：中国电信集团公司 p 人员规模：100人 2 第 2页 关于移动互联网系统与应用安全国家工程实验室（2/2） 移动互联网 系统与业务安全 研发实验平台 新技术新业务安全监测响应 新技术新业务安全评估 产业市场需求 P1 端到端的 安全测评和仿真 试验平台 企业自身保障 基于运营商网络的反电子欺诈 基于运营商网络的 仿冒APP监测与拦截 P2 移动互联网 安全技术应用 示范平台 国家战略要求 大数据驱动的威胁情报分析 大数据驱动的攻击检测与溯源 P3 3 第 3页 关于我 p 2001年以前：ChinaNSL p 2001年之后：信息安全从业者 p 2004：加入中国电信 p 2014年之前主要致力于为用户解决问题 ² 安全咨询、服务、解决方案 p 2014年3月：转到企业科研战线 ² 负责“移动互联网系统与应用安全国家工程 实验室”的具体工作 ² 关注中国电信自身需求，更关注用户需求 ² 关注技术研究和突破，更关注解决问题和应 用 p 其他 ² 程序员（C、C++、Python，etc.） ² 安全技术细节及架构体系的长期实践者 ² 茶，书法，篆刻 4 第 4页 引子——今天想分享点什么？ 5 第 5页 问题的提出 Part 1 Content Part 2 Part 3 大体的思路 实践的过程 Part 4 初步的结论 问题提出的背景 p2014年3月5日 互联网金融首度写入政府工作报告，国务院总理李克强在十二届全国人大二次会议政府工 作报告中提出“促进互联网金融健康发展”、“严厉打击金融诈骗、非法集资”。 p2015年9月 深圳 P2P 网贷平台融金所、国湘资本等相继被经侦调查。 p2015年12月 “e租宝”涉嫌违法经营被调查。 p2016年4月6日 上海市公安局发布信息，对“中晋系”相关联的公司进行查处。 p2016年4月14日 国务院组织14个部委召开电视会议，在全国范围内启动有关互联网金融领域的专项整治， 为期一年；当日，国务院批复并印发与整治工作配套的相关文件；在这份统领性文件之下， 共有七个分项整治子方案，涉及多个部委，其中央行、银监会、证监会、保监会将分别发布 网络支付、网络借贷、股权众筹和互联网保险等领域的专项整治细则，个别部委负责两个分 项整治方案。由于此次整治涉及打击非法集资等各类违法犯罪活动，公安机关将密切配合参 与其中。 p根据第三方网贷资讯平台“网贷之家”的数据统计，自2011年有相关记录以来，截至2016年6月，国内累计 成立的P2P理财平台达4127家，出现严重问题的互联网金融平台总数为1347个，占比高达32.64%。 7 第 7页 问题的提出 p从独立第三方的角度，选择一个合适的视角，探寻互联网金融当前的安全状况，发现主要安全问题、 倡导并帮助行业提高APP应用的安全水平，确保APP安全可靠，为用户着想，保障用户利益。 p视角： ²一个细分领域：网贷 ²一个观察的切入点：APP客户端的安全性 ²一定的范围：取样要有一定的规模，且具有典型的代表意义 p一分钟目标设定 ²在一个月时间内，完成对主流P2P产品Android移动客户端的安全检测，并出具一份专业的报告。 8 第 8页 问题的提出 Part 1 Content Part 2 Part 3 大体的思路 实践的过程 Part 4 初步的结论 思路：把目标分解成若干个小问题 p选择检测对象 p确定检测标准 p讨论检测方法 p组建检测团队（培训） p搭建检测环境（工具） p记录检测过程（迭代） p编写检测报告 10 第 10页 面临哪些困难和风险 p考虑到APP的更新太快，因此检测周期要尽可能短。 p与传统APP安全检测的差异化：金融类的APP有什么需要特别关注的。 p既要体现专业性，又要与单个APP的深度检测有所区别。 11 第 11页 问题的提出 Part 1 Content Part 2 Part 3 大体的思路 实践的过程 Part 4 初步的结论 工作计划 p时间进度计划（4周） ²第一轮测试、问题提炼、方法改进：1周（18个） ²第二轮测试：1周（20个） ²第三轮测试：1周（25个） ²第四轮测试：1周（25个） p人力资源计划：3个检测小组（负责人制）＋技术指导团队 ²中国信息通信研究院信息产业通信软件测评中心 ²移动互联网系统与应用安全国家工程实验室 ²上海掌御信息科技有限公司 p启动前的培训 p工具保障计划 p沟通计划：即时通信的群＋例会＋邮件组 p尖刀班的作用：通过筹备组启动项目，做一些可行性的研究 13 第 13页 如何挑选检测对象 p行业细分，目标收敛：P2P p采样的代表性：2015年发展指数前100名P2P 公司 p对“网贷之家”站点“网贷评级” 栏目（ http://www.wdzj.com/pingji.html）2015年 我国移动互联网金融APP全年运营数据的统计 中各月排名前100位的“发展指数”数据进行 逐月采集，并进行算数平均、全年综合排名， 最终得出年度前100位作为此次互联网金融 APP金融信息安全现状检测的最终样本库。 p其中具有APP的：共计88个（ Android应用） 14 第 14页 如何定义检测标准（1/2） p本地数据安全 ²敏感数据是否存放在外部存储器卡上，是否加密 ²私有目录数据是否设置了正确的权限 ²敏感数据是否以明文形式存储在私有目录中 p数据传输方法和实现 ²是否使用（HTTP）明文进行数据通信 ²如使用HTTPS，是否验证证书以及绑定证书 ²若使用自定义协议，是否有完善的密钥交换协议 p服务器安全（N/A） 15 第 15页 如何定义检测标准（2/2） p多方交易安全 ²是否存在客户端信息泄漏 ²是否存在身份验证机制的缺失 ²信息提示是否完整 p代码保护 ²是否实现了完整性检查 ²是否实现了防逆向分析 ²是否实现了防进程注入 16 第 16页 检测方法 pAPP的下载和锁定 p静态检测 p动态检测 p深度检测 p危害性重现 p评分 p报告 17 第 17页 人工分析方法示例 n Android应用安全敏感行为审计 ²APP应用的敏感行为或者恶意行为主要体现在APP应用本身申 请的权限、调用的应用接口APIs以及用于通信的IPC Intent事件 ； ²基于静态分析方法，采用逆向分析和集成分析的手段，来查看 APP应用申请的敏感权限Permissions以及APP应用调用的敏感 应用接口APIs； ²基于动态分析方法，采用沙盒分析和条件触发分析的手段，来 跟踪分析APP应用动态运行的日志记录以及用于通信的IPC Intents事件。 n 总结APP应用的敏感行为审计库 ²基于Adrienne.P.Felt Permission Map，统计总结APP应用的 敏感行为如下： 敏感行为类型 敏感行为关注 n Android应用安全设计分析 ²从6个维度评估应用本身的安全设计 ²基于静态分析方法，采用逆向分析和集成分析的手段，来分析评估 APP应用是否存在权限滥用、Intent权限泄露、组件权限绕过漏洞的 风险； ²基于动态分析方法，采用条件触发分析和沙盒分析的手段，来评估 Android框架中的Activity组件、Service组件、Broadcast Receiver 组件、Content Provider组件是否存在暴露风险、劫持风险以及组件 拒绝服务漏洞的风险； ²基于静态&动态分析方法，采用取证分析和流量分析的手段，来评 估Android设备中文件和敏感隐私数据是否存在被泄露的风险，其中 数据泄露的途径有很多，包括通过存储文件、共享变量、数据库或者 未加密的HTTPS数据通讯等多重方式来泄露。 脆弱性风险评估维度 风险评估方法 短信行为 发送、拦截、监控、解析等 上网行为 访问网页、网络接入隐藏等 电话行为 获取电话状态信息等 权限滥用维度 逆向分析 通话状态监控行为、获取电话号码等 组件安全维度 条件触发分析、仿真分析 联系人行为 密码学误用维度 逆向分析、流量分析 疑似隐私窃取行为 联系人获取、联系人删除、联系人添加等 疑似系统破坏行为 自启动行为、获取安装包列表行为等 数据传输维度 取证分析、流量分析 疑似木马行为 静默安装、卸载程序、后台下载、自我隐藏等 文件安全维度 逆向分析、取证分析 疑似流氓行为 收藏主页、非用户确认操作等 疑似对抗行为 防止用户卸载恶意软件自身 日志安全维度 逆向分析、取证分析 18 资源配套 p场地 p检测工具和设备 ²APP样本采集和自动化检测平台 ²Indroid ²apktool，androguard，JEB，Genymotion，signapk，Drozer，Burp，adb… ²基于Android & iOS Fuzz漏洞挖掘系统 p后勤保障 19 第 19页 不吐不快 检测中踩过的那些坑… 当然，收获也是颇丰J 20 第 20页