如何保障移動終端安全?一文詳解源自支付寶的全鏈路安全防護建設

螞蟻技術發表於2022-07-08

近日,由中國電子銀行網、數字金融聯合宣傳年主辦的第五屆(2022)數字金融創新大賽榜單釋出,螞蟻數字mPaaS全鏈路終端安全方案,獲得“數字平臺創新獎”。螞蟻數字mPaaS是融合支付寶諸多科技能力的移動開發平臺,為移動應用開發、測試、運營及運維提供雲到端的一站式解決方案,其中在移動安全方面,mPaaS基於支付寶多年業務實踐經驗,形成了mPaaS全鏈路終端安全方案,幫助企業在業務移動化過程中解決網路安全合規等問題。
6月24日,螞蟻集團和網際網路安全新媒體FreeBuf聯合開展移動安全公開課,螞蟻集團數字科技mPaaS技術專家葉鳴宇(夜禹)線上講解了mPaaS移動安全合規整體解決方案與實踐,我們將內容整理出來與大家分享。

|內容回顧|

夜禹從三個維度展開論述:首先,講述移動APP當前的安全現狀,包括移動安全、移動隱私合規的現狀;其次,談論螞蟻如何解決終端安全上的問題,全鏈路安全合規體系如何加強安全防護能力;最後,就移動隱私合規管控體系在螞蟻的應用場景做了簡單介紹。

|移動安全合規現狀|

根據信通院的資料顯示,70.22%的金融行業App存在高危漏洞,6.16%的金融APP受到惡意程式感染,超80%的金融App未進行任何的安全加固,N款金融App存在不同程度的超範圍索取使用者許可權的情況,以及某些第三方SDK存在隱蔽收集使用者資訊、自身安全漏洞等安全風險。由此可見,企業在業務移動化過程中APP的安全隱患問題普遍存在。
再來看到隱私合規行業標準、監管活動以及處罰情況示例圖,尤其在2021年11月1日起施行的《中華人民共和國個人資訊保護法》後,企業對於許可權隱私的保護越來越關注。截至 2022.3,工信部已組織檢測21批次共244萬款APP,累計通報2049款違規APP,下架540款拒不整改的APP,並且監管處罰還在繼續。

此外,自2015年起,國內金融機構開始嘗試使用將人臉識別作為一種使用者身份核驗方式,並將APP的業務直接依賴人臉身份核驗的結果。當人臉核驗通過後,就具備了線上上開戶、支付/轉賬、業務申辦等許可權,以致於黑產對人臉識別的攻擊也越來越多,活體人臉核驗技術安全亟待開發解決。

|全鏈路移動安全防護|

螞蟻如何解決在終端安全上的問題?螞蟻採用何種解決方案/架構體系提升安全防護能力?
螞蟻通過構建mPaaS全鏈路安全合規體系,體系覆蓋安卓、iOS、H5、小程式等各個平臺,也覆蓋整個研發生命週期包括從開發到上線以及後期運維維護。整體體系圖自下而上分為四類能力:
1.     資料安全服務;藉助“移動閘道器”、“威脅感知/裝置風險”、 “安全鍵盤”、“安全計算/儲存”等 ,保障移動 App 密碼祕鑰管理、資料傳輸、儲存安全性、攻擊動態防禦,並藉助“安全加固”,提供完善的 App 加固服務,保障應用線上執行避免篡改、破解、除錯等風險。
2.     安全隱私管控服務;藉助“移動安全檢測”、“移動隱私合規檢測” 、“移動隱私合規切面”等,幫助移動 App 全面排查安全漏洞,評估個人資訊採集是否合規,並提供安全問題修復方案及建議。
3.     生物認證安全服務;藉助“實人認證/活體識別”、 “證件識別”、 “人臉安全”、“IFAA 金融級身份認證”,實現金融 App 特定場景下身份認證安全,充分保障使用者資訊、業務交易資料安全性,同時對認證本身進行保護。
4.     應用安全加固服務;藉助“android安全加固”“ios/h5安全加固”,降低移動App在端上被破解、除錯、篡改等風險。

然而,“安全加固”不是萬能的。對高手而言,移動App做加固加殼也會被脫殼,並通過其他手機上的App來注入程式碼越過業務上的邏輯限制。這種情況下,業務側如何知道是否被攻擊?或是“請求”是不是被黑產改造過的流量?又如何做到防護?
支付寶以及螞蟻各大App都引入移動閘道器,移動閘道器是連線移動 App 客戶端和服務端的橋樑,也就是說,當流量打過來會經過閘道器再到後端進行驗籤和解密,流量到後端之後會被分發到業務側進一步處理。終端安全SDK在端上對風險提前進行感知,並把端上的各種資料特徵傳輸到後端進行大資料計算以及機器學習,同時會有專門的安全團隊對資料做進一步分析。這形成一整套的黑裝置感知、終端環境安全感知的能力,而這套能力/模型可以對閘道器打過來的各種業務流量進行監控,對惡意流量進行阻斷或者引入陷阱等方式策略管控。

這套解決方案不僅在支付寶內部可以使用,在外部App上也可以使用。典型應用場景發生在各類營銷活動中,比如在搶各類券的活動中,通過這套解決方案可以把住黑產引入的“薅羊毛”流量。其他應用場景也有火車票搶票業務防刷、轉賬風控系統風險決策等。

|移動隱私合規管控|

支付寶根據多年實踐沉澱出一整套的體系化解決方案,分為事前、事中、事後三層管控。
事前主要是通過動靜態風險掃描和許可權合規授權2個方式來把控風險卡口稽核。
事中主要是通過移動隱私合規安全切面的方式來對所有的API進行一個切面,從而監控每個使用者在使用過程中所涉及到的許可權情況以及隱私異常的問題。
事後就是出現問題後,企業方根據監控的資料下發指令對隱私異常或者有風險的地方進行阻斷,從而把風險降到最低。

目前,外部的很多廠商提供相關能力僅僅體現在事前的部分是無法完全把控風險的,而移動隱私合規解決方案可以幫助企業在測試過程中、線上上過程中以及出現問題之後快速響應及時管控。
整體而言,移動隱私合規切面是核心點,一般“使用者資訊”是可以直接打到最下層的底層API呼叫的,但現在它被攔截並把所有的呼叫全部走到管控面,也就是從“1”到“2”的路徑,通過這樣的路徑可以掌控線上整體情況,遇到問題時就可以進行回溯以及管控從而釋放風險。

怎樣實操發現上述風險問題?
螞蟻做了移動隱私合規管控大盤覆蓋一系列的隱私異常定義資訊,包括超範圍申請許可權、超頻次、後臺呼叫等等。 當風險發生,可以根據呼叫鏈自動化生成管控下發配置進行關閉並且只定向關閉掉管控的那部分而不影響其他業務。

|交流與互動|

以上就是我們今天分享的全部內容!
如有意向進一步溝通,歡迎大家掃碼加入“螞蟻mPaaS & FreeBuf公開課答疑群”釘釘群組,感謝大家參加今天的技術分享,希望有所收穫。

相關文章