Day-075-移动安全进阶

# Day 73: 移动安全进阶

> Web 安全系列第 43 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

**PUA v3 · Sprint 启动** 
```
┌─────────┬────────────────────────────────────┐
│ 清单 任务 │ 移动安全进阶 - Day 73              │
├─────────┼────────────────────────────────────┤
│  味道 │  阿里味（自动：安全任务）        │
├─────────┼────────────────────────────────────┤
│  压力 │ L0 · 信任期                        │
└─────────┴────────────────────────────────────┘
```
▎ 收到需求，对齐目标，进入 sprint。移动安全是下一个战场——别掉队。

---

## 清单 目录

1. [移动安全概述](#移动安全概述)
2. [Android 安全进阶](#android 安全进阶)
3. [iOS 安全进阶](#ios 安全进阶)
4. [移动应用逆向](#移动应用逆向)
5. [移动网络通信安全](#移动网络通信安全)
6. [移动数据存储安全](#移动数据存储安全)
7. [移动应用测试](#移动应用测试)
8. [实战案例分析](#实战案例分析)
9. [总结与思考](#总结与思考)
10. [参考资料](#参考资料)

---

## 移动安全概述

### 移动安全重要性

> ▎ 移动设备是人的延伸。移动不安全，人就不安全。

**为什么移动安全重要**：
```
1. 普及率高
   - 全球数十亿移动设备
   - 处理敏感数据
   - 金融交易频繁

2. 攻击面大
   - 应用漏洞
   - 网络通信
   - 数据存储
   - 设备丢失

3. 影响严重
   - 隐私泄露
   - 资金损失
   - 企业数据泄露
   - 身份盗用
```

**移动安全威胁**：
```
1. 恶意应用
   - 间谍软件
   - 勒索软件
   - 银行木马

2. 网络攻击
   - 中间人攻击
   - 虚假 WiFi
   - 钓鱼攻击

3. 数据泄露
   - 不安全存储
   - 未加密传输
   - 过度权限

4. 设备威胁
   - 设备丢失
   - Root/越狱
   - 物理攻击
```

### 移动安全特点

> ▎ 移动安全不是 Web 安全的简单延伸——有移动的特殊性。

**与 Web 安全对比**：
```
相同点：
- 网络通信安全
- 输入验证
- 认证授权
- 数据保护

不同点：
- 设备物理安全
- 应用沙箱
- 权限模型
- 逆向工程风险
```

**移动特有风险**：
```
1. 设备丢失/被盗
   - 物理访问
   - 数据提取
   - 未授权访问

2. 恶意应用
   - 应用商店审核绕过
   - 侧载应用
   - 应用内恶意代码

3. 不安全网络
   - 公共 WiFi
   - 中间人攻击
   - 虚假基站

4. 逆向工程
   - 反编译容易
   - 代码暴露
   - 密钥泄露
```

---

## Android 安全进阶

### Android 安全架构

> ▎ Android 安全是分层防御。一层破了，还有下一层——但别指望下一层能救你。

**沙箱机制**：
```
每个应用运行在独立沙箱：
- 独立 Linux 用户
- 独立文件系统
- 独立进程空间
- 默认无权限

好处：
- 应用隔离
- 限制权限
- 防止横向移动
```

**权限模型**：
```
权限分类：
1. 普通权限
   - 自动授予
   - 低风险
   - 如：网络访问

2. 危险权限
   - 用户授权
   - 高风险
   - 如：相机、通讯录

3. 签名权限
   - 同签名应用
   - 系统应用
   - 如：系统 API
```

**应用签名**：
```
作用：
- 验证应用来源
- 确保应用完整
- 权限授予依据

要求：
- 所有应用必须签名
- 更新需同签名
- 签名不可更改
```

### Android 组件安全

**Activity 安全**：
```
风险：
- 导出 Activity
- 意图劫持
- 数据泄露

防护：
- 设置 android:exported="false"
- 验证 Intent 来源
- 检查调用者权限
```

**Service 安全**：
```
风险：
- 导出 Service
- 服务劫持
- 权限提升

防护：
- 设置 android:exported="false"
- 使用权限保护
- 验证调用者
```

**BroadcastReceiver 安全**：
```
风险：
- 广播劫持
- 恶意广播
- 信息泄露

防护：
- 使用权限保护
- 验证发送者
- 加密敏感数据
```

**ContentProvider 安全**：
```
风险：
- 数据泄露
- SQL 注入
- 文件读取

防护：
- 设置 android:exported="false"
- 使用权限保护
- 参数化查询
```

### Android 存储安全

**内部存储**：
```
位置：/data/data/<package>/
特点：
- 应用私有
- 其他应用无法访问
- Root 后可访问

安全建议：
- 存储敏感数据
- 加密存储
- 定期清理
```

**外部存储**：
```
位置：/sdcard/
特点：
- 所有应用可访问
- 用户可访问
- 不安全

安全建议：
- 不存储敏感数据
- 加密文件
- 使用内部存储
```

**SharedPreferences**：
```
用途：存储配置信息
风险：
- Root 后可读取
- 备份可提取
- 明文存储

安全建议：
- 加密敏感数据
- 使用 EncryptedSharedPreferences
- 不存储凭证
```

**SQLite 数据库**：
```
用途：存储结构化数据
风险：
- SQL 注入
- Root 后可读取
- 备份可提取

安全建议：
- 参数化查询
- 加密数据库
- 使用 SQLCipher
```

---

## iOS 安全进阶

### iOS 安全架构

> ▎ iOS 安全比 Android 严格——但不是绝对安全。别迷信苹果。

**沙箱机制**：
```
每个应用运行在独立沙箱：
- 独立文件系统
- 独立 Keychain
- 网络访问限制
- 硬件访问限制

好处：
- 应用隔离
- 数据保护
- 权限控制
```

**权限模型**：
```
权限类型：
1. 系统权限
   - 自动管理
   - 如：网络访问

2. 用户权限
   - 用户授权
   - 如：相机、位置
   - 可随时撤销

3. 企业权限
   - 企业证书
   - 内部应用
   - 需要审批
```

**代码签名**：
```
要求：
- 所有应用必须签名
- Apple 审核
- 证书验证

好处：
- 确保应用来源
- 防止篡改
- 质量保证
```

### iOS 组件安全

**App Transport Security (ATS)**：
```
要求：
- 强制 HTTPS
- TLS 1.2+
- 有效证书

配置：
<key>NSAppTransportSecurity</key>
<dict>
  <key>NSAllowsArbitraryLoads</key>
  <false/>
</dict>
```

**Keychain 安全**：
```
用途：存储敏感数据
特点：
- 系统级加密
- 应用隔离
- 设备绑定

安全建议：
- 存储凭证
- 存储密钥
- 使用访问控制
```

**应用组**：
```
用途：应用间共享数据
风险：
- 数据泄露
- 未授权访问

安全建议：
- 限制应用组
- 加密共享数据
- 验证访问者
```

### iOS 存储安全

**应用沙箱**：
```
目录结构：
- Documents/：用户数据
- Library/：应用数据
- tmp/：临时文件

安全建议：
- Documents 备份
- Library 不备份
- tmp 定期清理
```

**NSUserDefaults**：
```
用途：存储配置信息
风险：
- 备份可提取
- 明文存储
- 越狱后可读取

安全建议：
- 不存储敏感数据
- 加密存储
- 使用 Keychain
```

**CoreData/SQLite**：
```
用途：存储结构化数据
风险：
- 备份可提取
- 越狱后可读取
- SQL 注入

安全建议：
- 加密数据库
- 参数化查询
- 不存储敏感数据
```

---

## 移动应用逆向

### Android 逆向

> ▎ 逆向是双刃剑。用来学习是好事，用来攻击是坏事——看你怎么用。

**反编译工具**：
```
APKTool:
- 反编译资源
- 修改代码
- 重打包

JADX:
- Java 反编译
- 查看源码
- 搜索代码

Bytecode Viewer:
- GUI 工具
- 支持多种反编译器
```

**动态分析工具**：
```
Frida:
- 动态插桩
- Hook 函数
- 修改行为

Objection:
- 基于 Frida
- 命令行工具
- 内置功能

Xposed:
- 需要 Root
- 模块开发
- 系统级 Hook
```

**逆向流程**：
```
1. 反编译 APK
   apktool d app.apk

2. 分析代码
   - 查看 Manifest
   - 分析 Smali
   - 搜索敏感代码

3. 动态分析
   - Hook 关键函数
   - 修改行为
   - 绕过验证

4. 重打包
   apktool b app -o app_modified.apk
```

### iOS 逆向

**反编译工具**：
```
class-dump:
- 导出头文件
- 查看类结构
- 搜索方法

Hopper:
- 商业反汇编器
- 支持 iOS
- 伪代码生成

IDA Pro:
- 专业反汇编器
- 支持 iOS
- 脚本扩展
```

**动态分析工具**：
```
Frida:
- 动态插桩
- Hook 函数
- 修改行为

Cycript:
- iOS 专用
- 运行时修改
- 对象检查

LLDB:
- 调试器
- 断点调试
- 内存检查
```

**逆向流程**：
```
1. 提取 IPA
   unzip app.ipa

2. 分析二进制
   class-dump -H app > headers.txt

3. 动态分析
   - Hook 关键函数
   - 修改行为
   - 绕过验证

4. 重签名
   使用企业证书重签名
```

---

## 移动网络通信安全

### HTTPS 实施

> ▎ HTTPS 是底线。不上 HTTPS，就别谈移动安全。

**证书验证**：
```
Android:
// 默认验证
HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();

// 证书绑定
CertificatePinner pinner = new CertificatePinner.Builder()
    .add("example.com", "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
    .build();
```

**iOS:**
```swift
// 默认验证
URLSession.shared.dataTask(with: url)

// 证书绑定
class Delegate: URLSessionDelegate {
    func urlSession(_ session: URLSession,
                    didReceive challenge: URLAuthenticationChallenge,
                    completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        // 验证证书
    }
}
```

### API 安全

**Token 管理**：
```
Android:
// 安全存储 Token
SharedPreferences prefs = getSharedPreferences("auth", MODE_PRIVATE);
String token = prefs.getString("token", null);

// 使用 Token
Request request = new Request.Builder()
    .addHeader("Authorization", "Bearer " + token)
    .build();
```

**请求签名**：
```
防止请求篡改：
1. 生成签名
   signature = HMAC(secret, request_data)

2. 添加签名
   request.headers["X-Signature"] = signature

3. 服务端验证
   verify_signature(request)
```

### 网络攻击防护

**中间人攻击防护**：
```
1. 证书绑定
   - 绑定服务器证书
   - 防止证书替换

2. 双向认证
   - 客户端证书
   - 服务器验证

3. 公钥绑定
   - 绑定公钥哈希
   - 防止证书更换
```

**重放攻击防护**：
```
1. 时间戳
   - 请求包含时间戳
   - 验证时间范围

2. 随机数
   - 请求包含随机数
   - 防止重用

3. 序列号
   - 递增序列号
   - 防止重序
```

---

## 移动数据存储安全

### 数据加密

**Android 加密**：
```
使用 EncryptedSharedPreferences:
EncryptedSharedPreferences prefs = EncryptedSharedPreferences.create(
    context,
    "secret_prefs",
    masterKey,
    EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
    EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
);

使用 SQLCipher:
SupportFactory factory = new SupportFactory(SQLCipherUtils.getPassphrase(context));
Room.databaseBuilder(context, AppDatabase.class, "db")
    .openHelperFactory(factory)
    .build();
```

**iOS 加密**：
```
使用 Keychain:
let query: [String: Any] = [
    kSecClass as String: kSecClassGenericPassword,
    kSecAttrAccount as String: "account",
    kSecValueData as String: data
]
SecItemAdd(query as CFDictionary, nil)

使用 CommonCrypto:
let encrypted = data.aes256Encrypt(key: key)
```

### 安全存储最佳实践

**敏感数据存储**：
```
1. 使用系统安全存储
   - Android: Keychain/Keystore
   - iOS: Keychain

2. 加密存储
   - 使用强加密
   - 安全密钥管理

3. 最小化存储
   - 只存必要数据
   - 定期清理
```

**凭证管理**：
```
1. 不硬编码
   - 动态获取
   - 安全传输

2. 安全存储
   - 使用 Keychain
   - 加密存储

3. 定期轮换
   - 定期更换
   - 泄露时立即更换
```

---

## 移动应用测试

### 静态分析

**Android 静态分析**：
```
工具：
- MobSF
- QARK
- AndroBugs

检查项：
- 权限使用
- 硬编码凭证
- 不安全 API
- 加密实现
```

**iOS 静态分析**：
```
工具：
- MobSF
- iVerify
- SwiftLint

检查项：
- 权限使用
- 硬编码凭证
- 不安全 API
- ATS 配置
```

### 动态分析

**Android 动态分析**：
```
工具：
- Frida
- Objection
- Drozer

测试项：
- 组件安全
- 数据存储
- 网络通信
- 逆向防护
```

**iOS 动态分析**：
```
工具：
- Frida
- Cycript
- iMazing

测试项：
- 组件安全
- Keychain 安全
- 网络通信
- 越狱检测
```

### 自动化测试

**MobSF**：
```
功能：
- 静态分析
- 动态分析
- 漏洞扫描

使用：
1. 上传 APK/IPA
2. 自动分析
3. 查看报告
```

**QARK**：
```
功能：
- Android 安全分析
- 漏洞检测
- 报告生成

使用：
qark --apk app.apk --output_dir output
```

---

## 实战案例分析

### 案例 1: 某银行 App 漏洞

> ▎ 银行 App 都敢这么写——这就是不重视移动安全的代价。

**漏洞描述**：
```
时间：2019 年
公司：某银行
漏洞：硬编码 API 密钥
影响：用户凭证泄露
后果：资金被盗
```

**攻击流程**：
```
1. 反编译 App
   jadx -d output app.apk

2. 搜索密钥
   grep -r "api_key" output/

3. 获取密钥
   找到硬编码的 API 密钥

4. 访问 API
   使用密钥访问银行 API

5. 窃取数据
   获取用户凭证
   盗取资金
```

**教训**：
```
1. 不硬编码密钥
   - 动态获取
   - 安全存储

2. 代码混淆
   - 增加逆向难度
   - 隐藏敏感代码

3. 安全审计
   - 定期审计
   - 漏洞扫描
```

### 案例 2: 某社交 App 漏洞

> ▎ 社交 App 泄露用户隐私——这种事不该发生。

**漏洞描述**：
```
时间：2020 年
公司：某社交 App
漏洞：不安全的 API
影响：用户数据泄露
后果：隐私泄露
```

**攻击流程**：
```
1. 发现 API 漏洞
   - ID 遍历
   - 未授权访问

2. 获取用户数据
   - 修改用户 ID
   - 获取他人数据

3. 数据泄露
   - 个人信息
   - 聊天记录
   - 照片
```

**教训**：
```
1. 权限验证
   - 资源归属检查
   - 访问控制

2. API 安全
   - 认证授权
   - 速率限制

3. 监控告警
   - 异常访问
   - 数据泄露检测
```

---

统计 **Sprint 交付 · 绩效评估**
```
┌───────────────┬────────────────┬────────────────┐
│  主动出击   │ ██████████ 5/5 │ [PUA 生效] 充足 │
├───────────────┼────────────────┼────────────────┤
│ + 验证闭环   │ ██████████ 5/5 │ 案例完整       │
├───────────────┼────────────────┼────────────────┤
│ 设计 代码质量   │ ████████░░ 4/5 │ 有改进空间     │
└───────────────┴────────────────┴────────────────┘
综合：3.75
```
▎ 勉强配得上 P8。别飘——移动安全这才刚入门。

---

## 总结与思考

### 核心要点回顾

> ▎ 复盘四步法：回顾目标、评估结果、分析原因、总结经验。别跳过——这是闭环。

**移动安全架构**：
```
1. Android 安全
   - 沙箱机制
   - 权限模型
   - 组件安全

2. iOS 安全
   - 沙箱机制
   - Keychain
   - ATS

3. 存储安全
   - 加密存储
   - 凭证管理
   - 最小化存储
```

**网络通信安全**：
```
1. HTTPS 实施
   - 证书验证
   - 证书绑定
   - 双向认证

2. API 安全
   - Token 管理
   - 请求签名
   - 速率限制

3. 攻击防护
   - 中间人防护
   - 重放攻击防护
   - 监控告警
```

**测试与审计**：
```
1. 静态分析
   - 代码审计
   - 漏洞扫描
   - 配置检查

2. 动态分析
   - 运行时测试
   - Hook 测试
   - 逆向测试

3. 自动化测试
   - MobSF
   - QARK
   - 持续监控
```

### 深入思考问题

> ▎ 只动手不动脑，那是码农。动手又动脑，才是工程师。

**移动安全未来**：
```
1. 5G 安全
   - 新攻击面
   - 边缘计算
   - IoT 融合

2. 折叠屏安全
   - 新交互模式
   - 新攻击向量
   - 安全挑战

3. AR/VR 安全
   - 隐私保护
   - 数据安全
   - 身份认证
```

**零信任移动**：
```
1. 持续验证
   - 设备健康
   - 用户行为
   - 环境风险

2. 微隔离
   - 应用隔离
   - 数据隔离
   - 网络隔离

3. 动态授权
   - 基于风险
   - 实时调整
   - 最小权限
```

### 实战建议

> ▎ 我给你指了路，走不走是你的事。机会给了，抓不抓得住看你。

**移动开发人员**：
```
1. 安全编码
   - 输入验证
   - 输出编码
   - 错误处理

2. 安全配置
   - HTTPS
   - 证书绑定
   - 权限最小化

3. 安全测试
   - 静态分析
   - 动态分析
   - 渗透测试
```

**安全人员**：
```
1. 移动安全测试
   - 逆向分析
   - 动态测试
   - 漏洞挖掘

2. 监控告警
   - 异常行为
   - 数据泄露
   - 恶意应用

3. 事件响应
   - 应急响应
   - 漏洞修复
   - 用户通知
```

**管理层**：
```
1. 安全预算
   - 安全工具
   - 安全培训
   - 安全审计

2. 合规要求
   - 隐私法规
   - 行业标准
   - 审计要求

3. 风险管理
   - 风险评估
   - 风险缓解
   - 风险转移
```

---

## 参考资料

### 学习资源
```
- OWASP Mobile Security
  https://owasp.org/www-project-mobile-security/

- OWASP MSTG
  https://owasp.org/www-project-mobile-security-testing-guide/

- Android Security
  https://developer.android.com/topic/security

- iOS Security
  https://www.apple.com/business/docs/iOS_Security_Guide.pdf
```

### 工具资源
```
- Frida
  https://frida.re/

- Objection
  https://github.com/sensepost/objection

- MobSF
  https://github.com/MobSF/Mobile-Security-Framework-MobSF

- JADX
  https://github.com/skylot/jadx
```

### 书籍推荐
```
- 《移动安全攻防实战》
- 《Android 安全揭秘》
- 《iOS 安全剖析》
- 《Mobile Application Hacker's Handbook》
```

### 在线资源
```
- PayloadsAllTheThings Mobile
  https://github.com/swisskyrepo/PayloadsAllTheThings

- HackTricks Mobile
  https://book.hacktricks.xyz/pentesting-mobile

- Awesome Mobile Security
  https://github.com/4ndersonLin/awesome-mobile-security
```

---

**标记 明日预告**：Day 74 - API 安全进阶

> ▎ 今天的内容消化了吗？消化了就继续——明天还有硬仗。

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 73 篇，Web 安全部分第 43 篇，精编版本*