一旦駭客入侵成功,金融行業面臨的不但是大筆資金的損失,還有其因系統安全受損引發的對其能否保證客戶資金往來線上操作安全性的質疑。事實上,具體問題需要具體分析,駭客攻擊的有時是金融機構本身,而非普通消費者,只是消費者的賬戶資訊很容易被利用成為攻擊鏈條的一段工具。資金的損失可以透過公安機構、技術合作夥伴進行追查挽回,但安全能力受損產生的信用形象陰影卻難以祛除。
面對近日猖獗的APP漏洞利用引發銀行機構受損的案例,三六零天御團隊對應用市場上數十款金融類APP進行分析檢測,發現絕大多數的APP都有進行相關的安全防護,但新的安全問題不斷湧現。在應用執行和通訊鏈路兩個維度三六零天御有了一些發現:
1. JavaScript 動態下發核心程式碼風險
為了追求開發效率,透過webview動態載入JS的方式實現其應用核心功能。由於JavaScript逆向難度低,動態下發的JavaScript無法被應用自身的安全防護手段保護,導致應用核心功能的安全風險大大增高。加之對於下發的JavaScript沒有進行任何混淆處理明文下發。
透過分析JavaScript業務程式碼,駭客可以逆向解讀應用的核心邏輯,有針對性的透過應用挖掘服務端漏洞,最終實現攻擊金融機構核心資產的目的。
2. 通訊鏈路安全風險
通訊上使用的https存在客戶端忽略服務端證照和單向校驗證照的漏洞,導致駭客透過構造https sever 進行中間人攻擊,進而無任何壓力的擷取明文JavaScript業務程式碼以及服務端和客戶端的業務通訊資訊。
透過中間人偽造通訊,駭客可以對於業務通訊進行劫持偽造,動態修改上下行資訊,使金融APP的客戶和金融機構造成巨大的經濟損失。
對於上述的攻擊手段,三六零天御提供以下安全解決方案,可有效應對此類安全攻擊。
1)應用漏洞檢測禮包
近期的銀行app漏洞事件中,核心是應用和業務邏輯漏洞利用。在應用上架之前,建議使用三六零天御的安全評估產品——360評估保,進行全方位“體檢”,及時發現應用安全問題,並進行修復。
三六零天御整合了360多個安全團隊的檢測能力,可從應用漏洞檢測、應用合規檢測、應用安全檢測、業務安全檢測四個方面、近百種安全檢測專案,為客戶提供專業全面的評估報告。
2)通訊協議加密禮包
通訊協議破解,已經成為駭客最常用的破解手段之一,如可以對下發JavaScript程式碼進行動態修改,從而進行中間人攻擊,建議使用通訊協議加密保護方案,為客戶端和服務端的通訊資料安全提供了安全保障,透過採用SSL和TLS安全的傳輸加密協議組織攻擊者分析網路資料,並對https通訊證照進行校驗和鎖定,有效遮蔽中間人攻擊,保護通訊中的協議安全。
3)H5加固禮包
對於使用JavaScript檔案進行核心功能開發的使用者,建議對JavaScript檔案進行加密處理,以防止明文程式碼被洩露,三六零天御提供的H5保護方案,透過將JavaScript程式碼進行混淆加密、壓縮等手段達到對JS檔案的反除錯、反竊取、反篡改等保護,大大提高JavaScript檔案的安全性。
該方案可以用於保護APP、微信小程式、快應用等多個場景。
4)危險環境檢測禮包
一般駭客攻擊在攻擊銀行客戶端APP時,都會在有安全風險的終端環境上執行,比如Xposed、ROOT、模擬器、雙開、可疑程式、Host篡改等等。
透過三六零天御提供的環境檢測功能,可以實時監測Android移動裝置上存在的惡意環境,識別異常裝置集中存在的地理位置,並快速判定存在業務欺詐嫌疑的裝置。
三六零天御秉持三六零安全大腦的理念,對使用者安全賦能,幫助使用者開發安全的應用軟體,共同營造綠色共贏的移動端環境。
如需進行移動安全方案諮詢,可聯絡三六零天御官方工作人員
官方郵箱:360tianyu@360.cn
官方電話:010-56821870