日前,上海警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙,据警方初步查证,马某利用黑客技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月,他发现某银行APP软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元,马某等6名犯罪嫌疑人被依法刑事拘留。
对此事件,专业的移动信息安全服务商爱加密安全专家表示,造成此类安全事件的原因主要是利用了该手机银行APP中质押贷款业务的安全漏洞,借用他人存单办理了存单质押贷款,而在贷款审核流程中未对贷款人身份进行验证,也未对终端环境进行风险监控。针对此次银行APP事件,该专家认为金融类APP除进行常规的安全加固外,还应注意以下几个方面漏洞风险,做到防患于未然。
Ø 通讯数据明文风险
风险描述:
如果客户端与服务端交互过程中的数据未采用任何加密处理,当用户在支付过程中输入支付密码、账户信息等关键信息时会造成被黑客利用进行监听、植入病毒或木马、窃取数据的危险行为。黑客通过对业务通信进行劫持伪造,动态修改上下行信息,使金融APP的客户和金融机构造成巨大的经济损失。
安全建议:目前市面上的主流算法容易被黑客分析并获取密钥key,从而可以方便的对数据进行解密还原操作,建议采用协议加密SDK。协议加密SDK算法采用白盒化的思路,把密钥和算法融合在一起,在不可信的环境下达到保证密钥安全性的目的。另外,在通信过程中,数据经常存在被篡改的可能性,建议采用自带数据校验功能的协议加密SDK对数据进行完整性校验,保证数据不可篡改。
Ø H5代码逆向破解风险
风险描述:对于H5应用来说,因为JavaScript作为开放的页面脚本语言,本身安全缺陷明显,并隶属于解释性语言,对任何人来说都是不设防的,而比较突出的攻击手段如下包括H5网站被任意调试;H5应用被随意获取相关JavaScript脚本,通过盗用来生成仿冒应用;H5应用中JavaScript暴露其业务逻辑和系统接口,黑客通过分析JavaScript业务代码,逆向解读应用的核心逻辑,有针对性的通过应用挖掘服务端漏洞,最终实现攻击金融机构核心资产的目的。
安全建议:爱加密移动应用H5安全加固平台可针对此类风险向企业提供系统级的安全服务。该平台具有自动对H5文件进行加密、混淆、支持批量上传及下载H5文件、支持API接口调用方式、支持Web JS、APPJS、公众号JS以及小程序JS代码加固、支持APP中热更新框架,如RN代码加固等特点。加密后的H5代码具备常量字符串加密、常量数字加密、二元表达式加密、代码压缩、函数变量名混淆、基本块分裂、垃圾指令注入、防调试、禁止控制台输出、一次一密、域名绑定等功能,达到对JS文件的反调试、反窃取、反篡改等保护,大大提高JavaScript文件的安全性。
Ø 终端设备环境风险
风险描述:根据媒体的报道,自5月份犯罪嫌疑人就开始利用该漏洞作案,11月份银行工作人员才进行报案,中间长达数月该应用都处于被攻击且未被发觉的状态,此类情况绝非首例,且不止一家。
安全建议:此类黑客攻击一般会在有安全风险的终端环境上运行,比如Xposed、ROOT、模拟器、双开、可疑进程、代码注入等等,爱加密提供安全清场SDK,客户可自行嵌入到App中对客户端所在手机环境进行安全检测,嵌入后客户端具备检测框架攻击行为(如Xposed,Substrate框架)、注入攻击行为(如Hjack注入、inject注入)、调试攻击行为(如gdbserver调试、ida调试)、劫持攻击行为、模拟器攻击行为、ROOT攻击行为、病毒、木马、恶意软件攻击行为等的能力。可对发现的各种攻击行为进行数据回调,帮助金融机构快速作出应急响应。
此前有调查显示,亚太地区金融行业的106款APP中85%的应用没有通过基本的安全检测,50%的应用至少存在4至6个漏洞,金融应用仿冒、金融页面钓鱼攻击、系统漏洞等问题层出不穷。为保证金融行业移动应用业务安全,爱加密基于金融业务特点,建立了一套牢固的移动应用安全防护体系,为移动金融业务提供可覆盖全生命周期的解决方案,保证移动应用的合规性和安全性,从根源上解决移动应用业务面临的各类风险。
目前,爱加密已服务中国银行、交通银行、浦发银行、中泰证券、广发证券、光大证券、陆金所、翼支付等数百家银行、证券、保险等互联网金融机构和第三方支付平台,致力做好金融安全的守门人,为金融行业健康稳定发展保驾护航。