第一篇網(wǎng)絡(luò)空間安全實踐入門篇第一章網(wǎng)絡(luò)應(yīng)用系統(tǒng)使用與分析實驗1.4手機App使用與分析網(wǎng)絡(luò)空間安全技術(shù)實踐教程11.4手機APP使用和分析實驗?zāi)康模?/p>

本次實驗主要是通過使用手機APP如本地App（計算器），有支付功能的APP（支付寶），有視頻聊天功能的APP（WeChat）等，分析對比其程序涉及的功能模塊，界面設(shè)計風(fēng)格，存在的安全問題等，對常用的手機APP應(yīng)用及安全性有一個初步的認(rèn)識。網(wǎng)絡(luò)空間安全技術(shù)實踐教程21.4手機APP使用和分析實驗原理：

智能手機已經(jīng)被大家廣泛的使用，手機APP應(yīng)用種類多種多樣，功能也十分豐富。本實驗通過對一些手機APP的分析，大致介紹手機的功能模塊，界面設(shè)計風(fēng)格，存在的安全問題等。網(wǎng)絡(luò)空間安全技術(shù)實踐教程31.4手機APP使用和分析實驗要點說明：（實驗難點說明）手機APP的界面分析手機APP的功能分析手機APP的安全性需求分析網(wǎng)絡(luò)空間安全技術(shù)實踐教程41.4手機APP使用和分析實驗準(zhǔn)備：（實驗環(huán)境，實驗先有知識技術(shù)說明）手機操作系統(tǒng)iOS9，Android6.0及以上操作系統(tǒng)windowsXP及以上wireshark和charles抓包工具熟悉手機APP應(yīng)用網(wǎng)絡(luò)空間安全技術(shù)實踐教程51.4手機APP使用和分析實驗步驟：1)手機本地APP（計算器）使用與分析

(1)手機計算器界面分析（此處以iPhone為例）

由手機自帶的計算器，功能比較簡單，界面也相對簡潔：僅設(shè)置了必要的數(shù)字鍵、數(shù)學(xué)運算鍵、數(shù)字輸入和顯示窗口等部分（如圖1-4-1）；界面的顏色選取了黑色、灰色、灰白色和橘色，從而根據(jù)功能結(jié)構(gòu)清晰的劃分為4個區(qū)域，給予使用者美的感受。網(wǎng)絡(luò)空間安全技術(shù)實踐教程61.4手機APP使用和分析實驗步驟：1)手機本地APP（計算器）使用與分析

(2)手機計算器功能分析

手機計算器主要提供可以基本滿足日常生活計算需求的功能：如數(shù)字的加、減、乘、除，求百分比、負數(shù)的輸入等等。Android以及IOS系統(tǒng)中有些版本的計算器除了提供日常計算功能外，還提供科學(xué)計算，如求正弦，求余弦，求對數(shù)，求平方根，指數(shù)運算等等，可以為一些學(xué)者提供方便的服務(wù)。

因為人們?nèi)粘Ｉ詈凸ぷ髦械挠嬎?，往往是臨時性的需求，因此計算器APP并沒有提供存儲功能；同時，也不需要網(wǎng)絡(luò)網(wǎng)絡(luò)空間安全技術(shù)實踐教程71.4手機APP使用和分析實驗步驟：1)手機本地APP（計算器）使用與分析

(3)手機計算器安全性需求分析

由于現(xiàn)在的網(wǎng)絡(luò)攻擊行為，大多基于互聯(lián)網(wǎng)進行，因此，沒有網(wǎng)絡(luò)連接的計算器本身，一般不會成為黑客攻擊的對象。但是這不代表是絕對安全，因為軟件安全基于操作系統(tǒng)安全，黑客可以通過攻擊手機操作系統(tǒng)，監(jiān)聽用戶點擊，獲取計算器的即時輸入輸出數(shù)據(jù)。

目前還沒有黑客利用計算器實施攻擊的案例，屬于風(fēng)險較低的APP。網(wǎng)絡(luò)空間安全技術(shù)實踐教程81.4手機APP使用和分析實驗步驟：1)手機本地APP（計算器）使用與分析

(4)分析與思考

根據(jù)你使用計算器的經(jīng)驗，你認(rèn)為計算器軟件還有哪些功能值得添加？網(wǎng)絡(luò)空間安全技術(shù)實踐教程91.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(1)支付寶APP的界面和功能分析

支付寶界面布局分為5個區(qū)域，從上到下依次排列：搜索及聯(lián)系人輔助功能、支付功能，重要的應(yīng)用、其他最近訪問或經(jīng)常使用的功能、導(dǎo)航欄。便捷的第三方支付是最重要的功能，放在最為顯眼的位置，并用背景襯托出來。

便捷的支付包括掃描二維碼轉(zhuǎn)賬支付（如圖1-4-2），付款碼支付（如圖1-4-3）。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程101.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(1)支付寶APP的界面和功能分析

在支付寶界面中第三塊區(qū)域（如圖1-4-2），是按照功能和使用頻率來顯示重要應(yīng)用的區(qū)域，我們點擊最后面的“全部”按鈕，可以找到更多的按照類別劃分的更多的其他應(yīng)用（如圖1-4-4）。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程111.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(1)支付寶APP的界面和功能分析

在支付寶界面第五塊區(qū)域（如圖1-4-2）是導(dǎo)航欄，“首頁”就是我們主界面；“口碑”主要提供口碑網(wǎng)訂餐服務(wù)的入口；“朋友”主要是提供支付寶處理的有關(guān)聯(lián)系人，生活號以及一些用戶需要收到的通知信息；“我的”主要是與支付寶賬戶本人有關(guān)的賬單，余額，銀行，保險等有關(guān)當(dāng)前的狀態(tài)和歷史信息（如圖1-4-5）。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程121.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(2)支付寶的網(wǎng)絡(luò)功能分析

支付寶最重要的功能就是提供第三方支付平臺，使得移動智能客戶端可以利用網(wǎng)絡(luò)向提供通信接口的軟件和商戶支付費用，與銀行卡綁定則可以把虛擬數(shù)據(jù)與現(xiàn)實貨幣聯(lián)系起來，更加的便利；同時也可以向其他支付寶用戶轉(zhuǎn)賬。我們抓取用戶轉(zhuǎn)賬的數(shù)據(jù)包（以charles抓包工具為例），為了敘述上的簡便，我們省去了抓包的步驟和詳細結(jié)果，我們僅提供分析的結(jié)果如下：支付過程中由于不同的手機處于不同的局域網(wǎng)下可能訪問不同的路由器，但是都會涉及以下三個IP地址（如圖1-4-6所示），經(jīng)IP地址查詢系統(tǒng)查詢結(jié)果分別為：上海阿里云IP，杭州阿里云IP，杭州阿里云IP。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程131.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(2)支付寶的網(wǎng)絡(luò)功能分析

我們通過分析抓取到的數(shù)據(jù)包的詳細信息，可以發(fā)現(xiàn)，所有的數(shù)據(jù)包，全部經(jīng)過加密處理：轉(zhuǎn)賬的用戶信息，用戶數(shù)據(jù)等全部為密文（由于篇幅所限，不提供結(jié)果的截圖）。

支付寶的其他功能如賬單信息、娛樂、出行、口碑、便民服務(wù)等基本上所有功能都是需要網(wǎng)絡(luò)功能的支持。雖然在支付寶APP本地留有一定的緩存，但是基本上所有業(yè)務(wù)的處理都需要借助網(wǎng)絡(luò)來實現(xiàn)。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程141.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(3)支付寶的安全性需求分析

類似支付寶這樣涉及金錢的支付平臺，很容易吸引黑客攻擊，安全性要求很高。

因為即使沒有成功轉(zhuǎn)移金錢，僅僅沖擊數(shù)據(jù)庫，造成用戶敏感信息泄露，也會引發(fā)較大的安全問題：如支付寶異常登錄、支付密碼泄露、金額數(shù)據(jù)不正確等。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程151.4手機APP使用和分析實驗步驟：2)支付寶APP的使用和分析

(4)分析與思考

結(jié)合ppt的資料圖片，手機支付寶的付款碼是我們支付中常用的方式，請網(wǎng)絡(luò)搜索付款碼進行支付的技術(shù)原理，并說明為什么付款碼需要每分鐘更新1次？你認(rèn)為每分鐘更新1次是否合理？為什么？結(jié)合ppt的資料圖片，在界面底部有一個聲波付的功能，請試著使用聲波付功能，并請網(wǎng)絡(luò)搜索聲波付的技術(shù)原理，同時分析其技術(shù)安全性和問題。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程161.4手機APP使用和分析實驗步驟：3)微信（WeChat）的使用和分析

(1)

微信的界面和功能分析

微信主要為智能終端提供即時通訊服務(wù)，設(shè)計界面主要以方便聯(lián)系和通訊為主，主界面如圖1-4-7所示。主界面主要分為2塊區(qū)域，第一塊顯示我們最近的聊天或最新資訊的聯(lián)系人，群和公眾號；第二塊處于底部，是導(dǎo)航欄，包括“微信”、“通信錄”、“發(fā)現(xiàn)”、“我”共4塊功能。

當(dāng)在微信界面中點擊選擇某一聯(lián)系人，則進入聊天窗口（如圖1-4-8）。在窗口底部，我們可以輸入文字，語音，圖片，還可以進行實時視頻和語音通話，同時還提供方便功能如轉(zhuǎn)賬，名片，卡券等功能。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程171.4手機APP使用和分析實驗步驟：3)微信（WeChat）的使用和分析

(1)

微信的界面和功能分析

在“微信”界面的導(dǎo)航欄中，選擇“發(fā)現(xiàn)”按鈕，則進入聊天窗口（如圖1-4-8），在這里，微信提供朋友圈，購物，娛樂，微信小程序功能；

選擇“我”按鈕，進入如圖1-4-10所示界面，在這里，微信提供個人信息管理的服務(wù)，我們可以查看自己的朋友圈、錢包、卡包等信息，并且進行有關(guān)配置。

同時微信還提供通信錄界面，方便用戶管理聯(lián)系人（由于篇幅所限，此處省略截圖）。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程181.4手機APP使用和分析實驗步驟：3)微信（WeChat）的使用和分析

(2)微信的網(wǎng)絡(luò)功能分析

微信支持跨通信運營商、跨操作系統(tǒng)平臺通過網(wǎng)絡(luò)快速分享信息、圖片、語音、視頻等信息，并且不斷完善其功能；也涉及到支付領(lǐng)域并可以綁定銀行卡。我們以視頻通話為例，分析其安全性（以wireshark為抓包工具）部分截圖見圖1-4-11

我們可以看到，在info一列，applicationData（應(yīng)用程序數(shù)據(jù)）經(jīng)過TLSv1.2協(xié)議加密處理，以保障用戶數(shù)據(jù)的安全性。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程191.4手機APP使用和分析實驗步驟：3)微信（WeChat）的使用和分析

(3)微信的安全性需求分析

具有聊天功能的應(yīng)用軟件很容易受到黑客攻擊，特別是當(dāng)該應(yīng)用軟件普及率相當(dāng)高，而用戶使用水平參差不齊的環(huán)境下，黑客的興趣就非常大。而且，目前，微信逐步向“生活工作服務(wù)平臺”靠攏，提供支付功能，提供微信小程序等功能的背景下，對微信的安全性要求相當(dāng)高。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程201.4手機APP使用和分析實驗步驟：3)微信（WeChat）的使用和分析

(4)分析與思考

微信提供“微信小程序”功能，請網(wǎng)絡(luò)搜索分析后說明其定義，功能和優(yōu)點，以及存在的問題。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程211.4手機APP使用和分析實驗結(jié)果要求

本次實驗要求使用上述三類手機APP（至少選擇一款不同于本節(jié)實驗教程的APP），了解其界面設(shè)計風(fēng)格和功能模塊，并嘗試使用每個APP的其中一種或幾種功能，分析可能存在的安全問題；抓包數(shù)據(jù)傳輸流程，了解該APP已經(jīng)采取了哪些安全措施，并且提出你認(rèn)為的可改進方法。網(wǎng)絡(luò)空間安全技術(shù)實踐教程221.4手機APP使用和分析實驗報告要求

實驗報告要求有封面，實驗?zāi)康?，實驗環(huán)境，實驗結(jié)果及分析；其中實驗結(jié)果主要描述你使用了什么APP的哪種功能，并發(fā)現(xiàn)了什么安全問題和已存在哪些安全保護