阿里云優(yōu)惠券 先領券再下單

日前，上海警方搗毀一個利用網上銀行漏洞非法獲利的犯罪團伙，據警方初步查證，馬某利用黑客技術，長期在網上尋找全國各家銀行、金融機構的安全漏洞。今年5月，他發(fā)現某銀行APP軟件中的*業(yè)務存在安全漏洞，遂使用非法手段獲取了5套該行的儲戶賬戶信息，在賬戶中存入少量金額后辦理定期存款，后通過技術軟件成倍放大存款金額，借此獲得*，累計非法獲利2800余萬元，馬某等6名犯罪嫌疑人被依法刑事拘留。

對此事件，專業(yè)的移動信息安全服務商愛加密安全專家表示，造成此類安全事件的原因主要是利用了該手機銀行APP中*業(yè)務的安全漏洞，借用他人存單辦理了存單*，而在貸款審核流程中未對貸款人身份進行驗證，也未對終端環(huán)境進行風險監(jiān)控。針對此次銀行APP事件，該專家認為金融類APP除進行常規(guī)的安全加固外，還應注意以下幾個方面漏洞風險，做到防患于未然。

Ø通訊數據明文風險

風險描述：

如果客戶端與服務端交互過程中的數據未采用任何加密處理，當用戶在支付過程中輸入支付密碼、賬戶信息等關鍵信息時會造成被黑客利用進行監(jiān)聽、植入病毒或木馬、竊取數據的危險行為。黑客通過對業(yè)務通信進行劫持偽造，動態(tài)修改上下行信息，使金融APP的客戶和金融機構造成巨大的經濟損失。

安全建議：目前市面上的主流算法容易被黑客分析并獲取密鑰key，從而可以方便的對數據進行解密還原操作，建議采用協議加密SDK。協議加密SDK算法采用白盒化的思路，把密鑰和算法融合在一起，在不可信的環(huán)境下達到保證密鑰安全性的目的。另外，在通信過程中，數據經常存在被篡改的可能性，建議采用自帶數據校驗功能的協議加密SDK對數據進行完整性校驗，保證數據不可篡改。

ØH5代碼逆向破解風險

風險描述：對于H5應用來說，因為JavaScript作為開放的頁面腳本語言，本身安全缺陷明顯，并隸屬于解釋性語言，對任何人來說都是不設防的，而比較突出的攻擊手段如下包括H5網站被任意調試;H5應用被隨意獲取相關JavaScript腳本，通過盜用來生成仿冒應用;H5應用中JavaScript暴露其業(yè)務邏輯和系統(tǒng)接口，黑客通過分析JavaScript業(yè)務代碼，逆向解讀應用的核心邏輯，有針對性的通過應用挖掘服務端漏洞，最終實現攻擊金融機構核心資產的目的。

安全建議：愛加密移動應用H5安全加固平臺可針對此類風險向企業(yè)提供系統(tǒng)級的安全服務。該平臺具有自動對H5文件進行加密、混淆、支持批量上傳及下載H5文件、支持API接口調用方式、支持Web JS、APPJS、公眾號JS以及小程序JS代碼加固、支持APP中熱更新框架，如RN代碼加固等特點。加密后的H5代碼具備常量字符串加密、常量數字加密、二元表達式加密、代碼壓縮、函數變量名混淆、基本塊分裂、垃圾指令注入、防調試、禁止控制臺輸出、一次一密、域名綁定等功能，達到對JS文件的反調試、反竊取、反篡改等保護，大大提高JavaScript文件的安全性。

Ø終端設備環(huán)境風險

風險描述：根據媒體的報道，自5月份犯罪嫌疑人就開始利用該漏洞作案，11月份銀行工作人員才進行報案，中間長達數月該應用都處于被攻擊且未被發(fā)覺的狀態(tài)，此類情況絕非首例，且不止一家。

安全建議：此類黑客攻擊一般會在有安全風險的終端環(huán)境上運行，比如Xposed、ROOT、模擬器、雙開、可疑進程、代碼注入等等，愛加密提供安全清場SDK，客戶可自行嵌入到App中對客戶端所在手機環(huán)境進行安全檢測，嵌入后客戶端具備檢測框架攻擊行為(如Xposed，Substrate框架)、注入攻擊行為(如Hjack注入、inject注入)、調試攻擊行為(如gdbserver調試、ida調試)、劫持攻擊行為、模擬器攻擊行為、ROOT攻擊行為、病毒、木馬、惡意軟件攻擊行為等的能力?？蓪Πl(fā)現的各種攻擊行為進行數據回調，幫助金融機構快速作出應急響應。

此前有調查顯示，亞太地區(qū)金融行業(yè)的106款APP中85%的應用沒有通過基本的安全檢測，50%的應用至少存在4至6個漏洞，金融應用仿冒、金融頁面釣魚攻擊、系統(tǒng)漏洞等問題層出不窮。為保證金融行業(yè)移動應用業(yè)務安全，愛加密基于金融業(yè)務特點，建立了一套牢固的移動應用安全防護體系，為移動金融業(yè)務提供可覆蓋全生命周期的解決方案，保證移動應用的合規(guī)性和安全性，從根源上解決移動應用業(yè)務面臨的各類風險。

目前，愛加密已服務中國銀行、交通銀行、浦發(fā)銀行、中泰證券、廣發(fā)證券、光大證券、陸金所、翼支付等數百家銀行、證券、保險等互聯網金融機構和第三方支付平臺，致力做好金融安全的守門人，為金融行業(yè)健康穩(wěn)定發(fā)展保駕護航。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！