日前���,上海警方搗毀一個(gè)利用網(wǎng)上銀行漏洞非法獲利的犯罪團(tuán)伙,據(jù)警方初步查證���,馬某利用黑客技術(shù)��,長(zhǎng)期在網(wǎng)上尋找全國(guó)各家銀行�、金融機(jī)構(gòu)的安全漏洞����。今年5月����,他發(fā)現(xiàn)某銀行APP軟件中的質(zhì)押貸款業(yè)務(wù)存在安全漏洞��,遂使用非法手段獲取了5套該行的儲(chǔ)戶賬戶信息���,在賬戶中存入少量金額后辦理定期存款�,后通過(guò)技術(shù)軟件成倍放大存款金額��,借此獲得質(zhì)押貸款�����,累計(jì)非法獲利2800余萬(wàn)元�,馬某等6名犯罪嫌疑人被依法刑事拘留。
對(duì)此事件���,專業(yè)的移動(dòng)信息安全服務(wù)商愛加密安全專家表示�,造成此類安全事件的原因主要是利用了該手機(jī)銀行APP中質(zhì)押貸款業(yè)務(wù)的安全漏洞����,借用他人存單辦理了存單質(zhì)押貸款����,而在貸款審核流程中未對(duì)貸款人身份進(jìn)行驗(yàn)證�,也未對(duì)終端環(huán)境進(jìn)行風(fēng)險(xiǎn)監(jiān)控���。針對(duì)此次銀行APP事件�,該專家認(rèn)為金融類APP除進(jìn)行常規(guī)的安全加固外�����,還應(yīng)注意以下幾個(gè)方面漏洞風(fēng)險(xiǎn)��,做到防患于未然���。
Ø通訊數(shù)據(jù)明文風(fēng)險(xiǎn)
風(fēng)險(xiǎn)描述:
如果客戶端與服務(wù)端交互過(guò)程中的數(shù)據(jù)未采用任何加密處理����,當(dāng)用戶在支付過(guò)程中輸入支付密碼�����、賬戶信息等關(guān)鍵信息時(shí)會(huì)造成被黑客利用進(jìn)行監(jiān)聽�����、植入病毒或木馬、竊取數(shù)據(jù)的危險(xiǎn)行為����。黑客通過(guò)對(duì)業(yè)務(wù)通信進(jìn)行劫持偽造,動(dòng)態(tài)修改上下行信息����,使金融APP的客戶和金融機(jī)構(gòu)造成巨大的經(jīng)濟(jì)損失。
安全建議:目前市面上的主流算法容易被黑客分析并獲取密鑰key����,從而可以方便的對(duì)數(shù)據(jù)進(jìn)行解密還原操作,建議采用協(xié)議加密SDK����。協(xié)議加密SDK算法采用白盒化的思路,把密鑰和算法融合在一起�,在不可信的環(huán)境下達(dá)到保證密鑰安全性的目的。另外����,在通信過(guò)程中,數(shù)據(jù)經(jīng)常存在被篡改的可能性�,建議采用自帶數(shù)據(jù)校驗(yàn)功能的協(xié)議加密SDK對(duì)數(shù)據(jù)進(jìn)行完整性校驗(yàn)����,保證數(shù)據(jù)不可篡改����。
ØH5代碼逆向破解風(fēng)險(xiǎn)
風(fēng)險(xiǎn)描述:對(duì)于H5應(yīng)用來(lái)說(shuō)����,因?yàn)镴avaScript作為開放的頁(yè)面腳本語(yǔ)言,本身安全缺陷明顯����,并隸屬于解釋性語(yǔ)言,對(duì)任何人來(lái)說(shuō)都是不設(shè)防的����,而比較突出的攻擊手段如下包括H5網(wǎng)站被任意調(diào)試;H5應(yīng)用被隨意獲取相關(guān)JavaScript腳本,通過(guò)盜用來(lái)生成仿冒應(yīng)用;H5應(yīng)用中JavaScript暴露其業(yè)務(wù)邏輯和系統(tǒng)接口����,黑客通過(guò)分析JavaScript業(yè)務(wù)代碼,逆向解讀應(yīng)用的核心邏輯�����,有針對(duì)性的通過(guò)應(yīng)用挖掘服務(wù)端漏洞,最終實(shí)現(xiàn)攻擊金融機(jī)構(gòu)核心資產(chǎn)的目的����。
安全建議:愛加密移動(dòng)應(yīng)用H5安全加固平臺(tái)可針對(duì)此類風(fēng)險(xiǎn)向企業(yè)提供系統(tǒng)級(jí)的安全服務(wù)。該平臺(tái)具有自動(dòng)對(duì)H5文件進(jìn)行加密�����、混淆��、支持批量上傳及下載H5文件����、支持API接口調(diào)用方式、支持Web JS�����、APPJS���、公眾號(hào)JS以及小程序JS代碼加固��、支持APP中熱更新框架����,如RN代碼加固等特點(diǎn)。加密后的H5代碼具備常量字符串加密���、常量數(shù)字加密���、二元表達(dá)式加密�����、代碼壓縮��、函數(shù)變量名混淆�����、基本塊分裂�����、垃圾指令注入����、防調(diào)試、禁止控制臺(tái)輸出���、一次一密�����、域名綁定等功能�����,達(dá)到對(duì)JS文件的反調(diào)試����、反竊取、反篡改等保護(hù)���,大大提高JavaScript文件的安全性����。
Ø終端設(shè)備環(huán)境風(fēng)險(xiǎn)
風(fēng)險(xiǎn)描述:根據(jù)媒體的報(bào)道���,自5月份犯罪嫌疑人就開始利用該漏洞作案���,11月份銀行工作人員才進(jìn)行報(bào)案,中間長(zhǎng)達(dá)數(shù)月該應(yīng)用都處于被攻擊且未被發(fā)覺的狀態(tài)��,此類情況絕非首例,且不止一家���。
安全建議:此類黑客攻擊一般會(huì)在有安全風(fēng)險(xiǎn)的終端環(huán)境上運(yùn)行�����,比如Xposed�、ROOT�����、模擬器�、雙開����、可疑進(jìn)程、代碼注入等等���,愛加密提供安全清場(chǎng)SDK�����,客戶可自行嵌入到App中對(duì)客戶端所在手機(jī)環(huán)境進(jìn)行安全檢測(cè)����,嵌入后客戶端具備檢測(cè)框架攻擊行為(如Xposed,Substrate框架)����、注入攻擊行為(如Hjack注入、inject注入)��、調(diào)試攻擊行為(如gdbserver調(diào)試�����、ida調(diào)試)��、劫持攻擊行為��、模擬器攻擊行為����、ROOT攻擊行為、病毒�、木馬、惡意軟件攻擊行為等的能力�����?蓪�(duì)發(fā)現(xiàn)的各種攻擊行為進(jìn)行數(shù)據(jù)回調(diào),幫助金融機(jī)構(gòu)快速作出應(yīng)急響應(yīng)�。
此前有調(diào)查顯示,亞太地區(qū)金融行業(yè)的106款A(yù)PP中85%的應(yīng)用沒有通過(guò)基本的安全檢測(cè)�����,50%的應(yīng)用至少存在4至6個(gè)漏洞�,金融應(yīng)用仿冒、金融頁(yè)面釣魚攻擊�、系統(tǒng)漏洞等問題層出不窮。為保證金融行業(yè)移動(dòng)應(yīng)用業(yè)務(wù)安全����,愛加密基于金融業(yè)務(wù)特點(diǎn)����,建立了一套牢固的移動(dòng)應(yīng)用安全防護(hù)體系,為移動(dòng)金融業(yè)務(wù)提供可覆蓋全生命周期的解決方案��,保證移動(dòng)應(yīng)用的合規(guī)性和安全性��,從根源上解決移動(dòng)應(yīng)用業(yè)務(wù)面臨的各類風(fēng)險(xiǎn)����。
目前��,愛加密已服務(wù)中國(guó)銀行�、交通銀行�����、浦發(fā)銀行�����、中泰證券�����、廣發(fā)證券����、光大證券、陸金所����、翼支付等數(shù)百家銀行、證券�����、保險(xiǎn)等互聯(lián)網(wǎng)金融機(jī)構(gòu)和第三方支付平臺(tái),致力做好金融安全的守門人���,為金融行業(yè)健康穩(wěn)定發(fā)展保駕護(hù)航�。
鄂公網(wǎng)安備 42112402000149號(hào)