談到App加固,裕信銀行選擇頂象

頂象技術發表於2022-11-14

移動網際網路時代,App已經成為了商業銀行觸達和經營客戶的主要陣地。尤其,在疫情爆發之後,銀行App作為重要的「無接觸」門戶,開始扮演越來越重要角色。

此外,隨著新一代人工智慧的蓬勃發展,智慧金融新模式、新業態不斷湧現,有力促進了金融業的轉型升級。諸如透過銀行與第三方機構的資料共享,觸達更多使用者;加大對App端的技術和人員投入等。雖然智慧金融業態帶來了新的商業機遇,但跨平臺的資料和業務共享也伴隨著極高的安全風險。

以海外銀行為例。

2017年9月,美國信用機構Equifax遭到駭客攻擊,導致約1.43億使用者資料遭到洩露。

2019年美國第七大商業銀行Capital One當地時間12月29號宣佈,大約一億美國人和600萬加拿大人的個人資訊遭一名“駭客”竊取。

2020年美國最大的銀行之一Flagstar遭遇重大資料洩露,影響超過150萬客戶。

與此同時,政策監管也成為眾多海外銀行App 們的“利劍”。

2016年 12月歐盟對三家銀行開出4.85億的罰單;2019年12月歐盟又對5家銀行開出3.4億歐元的罰單。

綜上不難看出,對於海外銀行而言,他們面臨的最大挑戰是如何在保證合規的情況下確保銀行App 的安全性,進而提升使用者體驗。

裕信銀行(UniCredito Italiano)的App安全先見

公開資料顯示,義大利裕信銀行(UniCredito Italiano)總部設在米蘭,是義大利最大的銀行集團之一,是1998年和1999年由義大利信貸(Credito Italiano)、CRT銀行(Banca CRT)、Cariverona、卡薩瑪卡(Cassamarca)和羅勞銀行 1473(Rolo Banca l473)等7家銀行合併而成。2022年5月,《2022福布斯全球企業2000強》釋出,裕信銀行位列第297名。

談到App加固,裕信銀行選擇頂象

該銀行主要提供個人投資,商務銀行業務,國際業務,電話服務,信用卡服務,存貸款業務等。當前,業務遍及19個國家,有超過2800萬使用者,為歐洲最大的銀行集團之一。裕信銀行的核心業務主要分佈於義大利、奧地利和德國南部等較富裕地區,以及中歐、東歐,在亞太地區也有佈局。

自成立之初,裕信銀行便一直將安全放在首位。

2018年,Facebook 發生了震驚業界的資料洩露事件,5000萬人的資料遭洩露。裕信銀行作為義大利最大的銀行之一當即宣佈終止與Facebook 的業務合作關係,直至Facebook有得當的道德行為為止。

而在新冠疫情的迅速發酵下,銀行App 也被放在了更為重要的位置,同樣也成為裕信銀行與使用者建立聯絡的重要橋樑,因此保證App 的安全性與合規成為裕信銀行的最大訴求。

頂象App 加固為裕信銀行保駕護航

頂象端加固為App提供安全加固、風險預警及全生命週期風控保障,滿足安全和合規要求。

1、全方位保障App安全

安全威脅與駭客攻擊主要透過程式碼的脆弱性實現的。針對程式碼安全,頂象端加固能夠針對已有應用進行安全性檢測,發現應用存在的風險漏洞並針對性進行修復整改,對敏感資料、程式碼混淆、程式碼完整性、記憶體資料等進行保護,從源頭上避免系統漏洞對於應用本身造成的安全影響。

談到App加固,裕信銀行選擇頂象

頂象端加固能有效防禦記憶體注入、Hook、除錯、注入、多開、記憶體Dump、模擬器、二次打包和日誌洩露等攻擊威脅,防止App遭入侵、篡改、破解、二次打包等惡意侵害,其獨有“蜜罐”功能、保護Android 16種資料和檔案,提供7種加密形式,率先支援對iOS免原始碼加固。並能夠對金鑰儲存檔案、配置類檔案的進行加密,保障原始碼和資料安全。

2、為App提供實時風險預警

作為頂象防禦雲的一部分,頂象端加固支援安卓、iOS、H5、小程式等平臺,獨有云策略、業務安全情報和大資料建模能夠力。基於防禦雲,頂象端加固能夠為App提供移動應用執行是進行安全監測,對移動應用執行時終端裝置、執行環境、操作行為進行實時監測,幫助App建立執行時風險的監測、預警、阻斷和溯源安全體系。

談到App加固,裕信銀行選擇頂象

3、為App建立全生命週期防控體系

App 應用安全加固呈現常態化、泛邊界化和專業化的趨勢,這意味著企業自身簡單的防護已經無法滿足當前網路安全防護的新趨勢,亟待建立更為全面的安全防禦體系。

除此之外,頂象App加固還可實現以下功能:

字串加密。將App的原始碼中敏感字串做隨機加密處理。在執行時進行對字串動態解密,這樣就可以避免攻擊者,透過利用工具進行靜態逆向分析發現關鍵字串資訊,從而快速定位到應用中的業務程式碼。

控制流平坦化。將so檔案中C\C++程式碼中的執行控制邏輯變換為平坦的控制邏輯,從抽象語法樹層面進行深度混淆,使得其在常用反編譯工具中,極大的降低反編譯逆向程式碼的可讀性,增加逆向程式碼的分析難度。

指令替換。對程式碼中的運算表示式進行等效轉換,使其在常用反編譯工具中,提高破解者逆向分析門檻,有效的保護核心演算法的原始邏輯。

區域性變數名稱混淆。對原始碼中的變數名稱進行做混淆操作,混淆後變數名稱變成無任何意義的名稱。這給分析者加大了分析強度。

符號混淆。對App應用中的類名稱、函式名稱進行混淆操作,增大直接用工具分析難度,讓反編譯逆向工具,無法直接透過類名稱、函式名稱進行快速定位App的核心程式碼。

混淆多樣化。採用在混淆過程中引入隨機性技術,在相同的混淆策略下,每次混淆後的程式碼均不一致,進一步提升攻擊者透過利用工具進行靜態分析的難度。

不透明謂詞。將程式碼中分支跳轉判斷條件,由原來的確定值變為表示式,增加程式邏輯的複雜性、降低程式碼的可讀性。

防動態除錯。對App應用進行防除錯保護、檢測到配置防動態除錯功能的類、方法、函式被IDA逆向工具進行動態除錯時候,App應用進行自動退出執行操作,有利於保護App應用直接被動態除錯,從而提高攻防對抗的門檻。

防動態注入。對App應用進行防動態注入保護,當利用zygote或ptrace技術進行App應用的注入操作時,App應用進行自動退出執行操作,以此進行防禦攻擊方對App應用的非法操作,避免動態分析執行程式碼,從而達到動態保護App應用安全。

HOOK檢測。對App進行防HOOK保護,檢測到配置防hook保護功能的類名、方法名、函式名在被frida、xposed等工具動態hook時候,App進行自動退出操作,以此進行提高防禦App安全性,保護App不被注入攻擊,抵禦惡意侵入。

程式碼段檢驗。對App應用中的程式碼段進行完整性校驗,發現程式碼段被篡改,App應用進行自動退出執行,防止App應用中的程式碼邏輯被篡改,以此進行動態保護App的原始碼安全性。

完整性校驗。對App中指定的函式級進行完整性校驗,當應用被重新簽名和程式碼的完整性遭到破壞時候,檢測點進行觸發App程式閃退,以此抵禦主流的偵錯程式除錯分析,從而達到動態保護程式安全。

頂象端加固從App的設計、開發、釋出、維護等全生命週期環節解決移動應用在核心程式碼安全、邏輯安全、安全功能設計、資料傳輸鏈路安全等多個維度的問題,助力裕信銀行築牢安全防線。

——————

業務安全產品:免費試用


相關文章