数据保护与木桶效应 APP安全检测主要的不合规问题 默示隐私政策各种情况分布 APP本地明文存储数据类型分布 私自共享跳转第三方应用类型分布 工业与信息化部-2020年5月14日 APP安全之基础安全 其他安全 风控业务安全分析 内容安全分享 第三方SDK摘要 隐私安全体系

移动开发与安全新趋势 移动应用生态安全 物联网与移动安全 移动生态安全总结与展望

议题简介： 从Android APP的脆弱性入手，分析恶意APP的工作原理和恶意行为，并针对相关脆弱点分析和总结了APP代码混淆与加壳、完整性校验、代码隐藏等保护措施，例如：通过自定义底层so文件结构、代码混淆、代码反调试、dex文件保护、多种校验方式等保护代码安全。

对目前安卓应用加固技术经行了细致的案例代码分析，并总结了通用的脱壳方案 议题内容 1.加固脱壳意义 2.目前加固现状 3.某些加固分析 4.如何制作通用脱壳

APP分析的现状与工具 基于模拟器分析的不足之处 APP高级程序分析需求 基于真实环境的APP分析

它都干了些什么？1、自带Root模块，无法卸载；2、推送广告；3、静默安装应用。 幽灵推是这么干的：首先从云端获取root模块；替换系统文件，设置开机启动；释放文件，安装病毒体；执行前述的后续动作。 走遍世界也不容易，它如何遍布全球？答案就是：在这个移动移动互联网大时代，应用推广所引申出的灰色产业链。问题的根源便是逐利！ 邹义鹏最后总结道Ghost Push可能只是冰山一角，利益的驱使催生了灰色产业；而对于安全从业者而言，移动端安全问题仍是一个挑战，保护用户设备及信息，任重而道远。

CONTENTS 移动APP市场分析 移动APP安全现状 移动APP漏洞类型 移动APP漏洞案例 移动APP安全思考 Q&A

今天的主题不是讲脱壳，而是跟大家分享我们在客户端上的另外事例，叫做安全增强。不管 APP 或者 IOT 还是移动设备上安全问题，老实讲 APP 或者一个端，在恐怖的环境里面保证 APP 的安全，这是我们要解决的。安全增强主要的目的就是解决这几个问题。大会上，讲师简要分享了几个安全增强的方案。

APK加固方案 APK加固过程 APK加固功能 APK加固价值支撑体系 APK加固保护体系 APK加固市场发展方向

neobyte – 百度X-Team成员，多年安全评估经验，主要研究Java安全、安卓安全、前端安全等。多次获得Chrome以及Android团队致谢。 　　Intent是安卓Java环境的一种IPC形式。Intent注入可以让APP发送我们想要的 Intent。议题归纳了几种常见的Intent注入类型，如何用工具去自动挖掘这些漏洞，并演示了几个在安卓框架层、系统级APP以及浏览器中发现的Intent注入漏洞。 目录 Intent注入的概念 Intent转换与复制 Action/Component/Data注入 PendingIntent误用 parseUri注入 总结 Intent注入漏洞,并非一个新的概念,它早就存在。它比较稀少,因此容易被忽视 归纳了Intent入 的4种形式:Intent转换与复制、 Action/Component/Data注 、PendingIntent误用与 parseUri注 入 归纳了利用自动化的工具具发现这4类形式的方法,通过批 量的扫描,可以轻易发现这些漏洞 在每种都找到了一个安卓OS或Chrome安卓版的0day,达 到本地提权或远程命令执行的效果,分别得到了Android 与Chrome的官方致谢