梆梆资讯

梆梆资讯

精彩回顾 | 支付讲武堂:央行146号文移动支付应用安全解读

2018-09-14

2018年9月13日晚,梆梆安全高级安全顾问赵千里受邀出席移动支付网线上直播栏目【支付讲武堂】,围绕《解读央行146号文 看移动支付安全隐患及应对措施》的主题进行了精彩分享,并就移动应用安全防护措施、银行业移动端安全检查顺序及措施等相关问题回答了网友,直播间吸引了众多业内人士的参与。


以下是梆梆安全高级安全顾问赵千里在【支付讲武堂】分享的精彩内容:

一、移动应用发展与安全态势
根据中国互联网络信息中心第 41次《中国互联网络发展状况统计报告》统计显示,截至2017年12月中国网民规模达7.72亿,网民中使用手机上网的人群占比由2016年的95.1%提升至97.5%,手机上网比例持续增长,移动支付用户规模达到5.27亿,线下场景使用突出。

2017年,银行业金融机构共处理电子支付业务1525.80亿笔,其中网上支付、电话支付笔数和金额占比有所下降,移动支付业务同比分别增长46.06%和28.80%,从金额和数量来看,移动支付呈现迅猛发展的态势。

根据普华永道对中国区《2018全球信息安全状况调查》来看,企业安全事件最大的比例在于移动设备,移动端是黑客首选的攻击入口。

二、移动支付安全问题原因
移动端之所以成为企业最大的安全隐患,分析有以下几个原因:移动病毒威胁持续攀升、移动应用漏洞普遍存在、移动应用仿冒威胁全面扩散、移动应用自身存在多种风险以及攻防实力不均衡等。

移动病毒威胁持续攀升
根据CNCERT的统计,2017年新增移动端病毒样本高达3284524个,平均每天新增9000个样本,平均每10秒就生成一个病毒样本,我们面临的病毒威胁数量非常庞大,且病毒类型以流氓行为、资费消耗、隐私窃取为主。

移动应用漏洞普遍存在
从18个行业的TOP10 APP应用漏洞情况统计来看,95%的应用都有漏洞,平均每个应用有52个漏洞,这跟软件开发重功能轻安全有关系。

移动应用仿冒威胁全面扩散
市场上仿冒应用也非常猖獗,苹果有APP Store相对好管控,但大量的安卓应用市场则参差不齐,存在监管漏洞,为仿冒应用的滋生提供了温床,其中游戏娱乐、金融理财行业成为仿冒APP的重灾区。

移动应用自身存在多种风险
以安卓系统为代表的移动应用生态链,在设计之初,主要考虑方便开发者,强调易用性、开放性,难以避免会在安全性方面考虑不足。

技术先天性缺陷:技术上存在被反编译、篡改、二次打包、钓鱼应用等安全风险。

业务逻辑缺陷:开发人员开发过程中引入的业务逻辑漏洞容易被黑客利用,例如任意密码修改、越权访问、密码找回,甚至支付时可以绕过验证。

操作系统漏洞:操作系统底层的安全机制不健全,导致APP运行过程中易遭受攻击。

运行时的动态攻击:运行过程中,APP易遭受模拟器、注入攻击、调试行为、设备篡改、位置欺诈等动态攻击。

业务欺诈:在APP的业务层面存在虚假注册、批量开卡、批量开户、薅羊毛、刷单等复杂的攻击手段。 

攻防实力不均衡

之所以存在那么多的安全问题,从市场角度来看其中的一个主因在于移动支付利益的驱使,巨额利益之下近百万的从业者在加入黑产行列。截止2016年底,中国拥有23亿活跃移动终端,但移动互联网网民才7.53亿,排除一些物联网终端设备,那么这23亿设备里存在大量的疑似黑产相关设备。

从攻守角度来看,企业普遍缺乏安全意识和技能,专业安全人员匮乏,特别是在移动端精力和时间投入有限,对应的黑产从业人数众多,有专业的攻防能力,人员分工明确,企业与黑产间实力悬殊。

三、移动支付安全问题解决思路
移动安全面临的挑战有以下几方面:移动业务场景的多样化,移动业务的攻击面、攻击点呈现爆发式增长,对移动安全也提出了更高的要求;过渡依赖静态防御,对未知风险和动态攻击的应对不足;安全强度不可量化,传统的静态防御在应用发布后,安全防御的强度如何、效果如何无法验证;攻击产业化和专业化的趋势在加剧,黑客正在逐渐将以“钱”为重心的攻击目标转移到盗取并贩卖个人敏感信息,以及众多黑产活动。

根据所描述的移动安全面临的种种挑战,我们建议“构建自适应的下一代移动安全体系”。根据Gartner提出的自适应安全框架(ASA)、PPDR安全模型,从防护、监测、响应、预测等多个维度形成一个闭环。

自适应安全框架,非常强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。

移动应用安全加固-静态保护
PPDR安全模型从移动应用防护维度来说,首先要做移动应用的安全加固。移动应用存在反编译的风险,通过反编译方式能够还原代码,能够看到移动应用所写的逻辑关系,找到漏洞进行攻击就是很容易的事情。

移动应用加固是静态防护,需要对JAVA部分做整体加壳保护,对SO库进行加固,进行设备绑定,还要做防动态调试的防护和检测,最终形成整体的移动应用安全加固。

移动应用安全检测

根据开发人员最常犯的15个错误来看,面对开发端所存在的安全漏洞,需要有一个针对移动应用的自动化测评平台,为移动应用测评打分,检测到移动应用存在的程序方面漏洞,同时还需要通过人工渗透方式来发现业务方面存在的逻辑漏洞。

移动应用上线渠道监测
对于应用上线发布后的不可控情况,以及移动应用经常会遭遇的的钓鱼应用/反编译二次打包等问题,可以通过以下手段解决:

钓鱼/盗版APP监控:7X24小时对国内超过400+应用分发下载渠道进行不间断监测,第一时间发现钓鱼/盗版应用。

 APP发布渠道监控:持续对国内超过400+应用分发下载渠道进行不间断监测,以便掌握各渠道新版本上线情况、历史版本留存情况。

渠道监测报告:按照需求提供渠道监测报告,包括APP在所有渠道上的发布信息、版本信息、下载量信息、正盗版分布、下载来源、盗版危害分析等内容。

钓鱼/盗版APP处理:可按照客户授权对已经确定了的钓鱼/盗版APP做下架处理。


移动应用上线运行监测、防护

移动应用上线过后,除了渠道的监测,更重要的是上线运行监测防护。

四、中国人民银行146号文件移动安全支付解读
中国人民银行146号文件在移动支付方面的安全要求主要有四点:客户端数据录入安全、身份验证信息管理、客户端数据传输安全、客户端应用软件自身安全。

下面就详细分析下央行146号文的检查点及应对策略:

身份验证信息管理  第1条
排查要点:

原始身份验证信息不应明文保存在移动终端本地。

解决方案:

通过应用加固系统,可以对本地存储的数据、资源文件进行透明化加密保护,实现对本地任何文件或数据库进行加密存储,让本地信息得到有效加密保护,避免了因为人为开发缺陷导致的敏感信息明文存储。

客户端数据录入安全  第6、7条
排查要点:

客户输入交易密码等信息时,客户端不应明文显示;客户输入支付敏感信息(如银行卡密码、网络支付交易密码)时,应采用信息输入安全防护 、即时数据加密等安全措施防止数据被非法截获。

解决方案:

可以采用安全软键盘解决上述问题,其支持Android、iOS、HTML5、微信小程序等多个平台,具有良好的交互性和安全性。

客户端数据传输安全  第9条
排查要点:

客户端对发送报文的关键要素宜采用数字签名或报文鉴别码等方式,以确保支付内容的真实性和抗抵赖性。

解决方案:

通过通信协议保护技术,采用白盒密钥加密算法,对通信密钥进行散列化加密处理(即使加密库被破解,由于密钥的散列化结构以及多段校验机制,破解者也无法还原真实密钥),同时在报文中动态添加设备指纹信息,并对报文整体进行完整性校验,防止被非法篡改,防范中间人攻击。

客户端应用软件自身安全  第13条
排查要点:

应采用防逆向工程保护措施,如客户端应用软件采取代码花指令、反调试、代码混淆等技术手段,防范攻击者对客户端应用软件的反编译分析。

解决方案:

通过安全应用加固技术,全面对Android应用进行加固保护,可以防止针对应用的逆向分析、动态调试、动态注入、二次打包等。

通过梆梆安全源码加固技术,可全面为iOS应用提供“防静态分析+防动态调试”的双重保护,可以防止针对应用的源代码逆向、内存调试、动态注入等。

客户端应用软件自身安全  第14条
排查要点:

客户端应用软件完整性应满足以下要求:应对客户端应用软件进行签名,标识客户端应用软件的来源和发布者;客户端应用软件启动和更新时,应进行真实性和完整性校验,防范客户端应用软件被篡改。

解决方案:

通过梆梆安全应用加固技术,可以对Android应用提供全文件完整性校验技术和应用开发者签名校验保护服务;通过梆梆安全源码加固技术,可以对iOS应用提供基于源代码级别的完整性校验保护,防止对应用的篡改。

客户端应用软件自身安全  第15条
排查要点:

应从木马病毒防范、信息加密保护、运行环境可信等方面提升安全防控能力。

解决方案:

通过移动威胁感知系统,能够持续监测APP客户端在运行过程中出现的病毒木马及运行环境的可信安全问题。弥补运行时动态攻击防御的短板,解决监管需求。

实时监测APP的运行环境风险,通过后台定制策略,实现对于具体安全威胁的四大安全策略,包含:退出、退出并提示、提示、静默监测;提供对攻击过程的攻击分析,包含了攻击来源(含网络信息、设备信息、应用信息、系统信息等)、攻击目标(应用信息)、攻击时间、攻击过程、攻击技术等全面的威胁分析和统计。

客户端应用软件自身安全  第16条
排查要点:

应能监测并向后台系统反馈手机支付环境安全状况,并将此作为风控策略的依据。

解决方案:

使用移动威胁感知可以持续将监测终端运行环境风险状况、运行时攻击的威胁信息同步给业务风控,让业务风控的策略更完善,补齐业务风控对于终端风险监控的短板。

客户端应用软件自身安全  第18条
排查要点:

应对应用程序接口进行保护,防止应用程序接口被非授权调用。

解决方案:

基于梆梆安全白盒化的通信协议保护技术,可以实现对通信数据、通信密钥的全面保护,防止针对应用程序接口的重放攻击、恶意非授权调用,防止对通信报文数据的破解。

客户端应用软件自身安全  第20条
排查要点:

客户端应用软件代码中不应存在以下安全问题,包括但不限于:密钥硬编码在代码或资源文件中;代码或配置文件中未清除测试信息。

解决方案:

梆梆安全密钥白盒系统,采用自主知识产权的白盒密码技术,支持“一次一密”,可以有效的保护终端软件内的原始密钥,解决原始密钥硬编码存储安全问题。

通过梆梆安全应用加固系统,可以关闭应用软件内的所有调试函数,禁止调试测试信息输出,防止测试信息泄漏。

五、直播间问答
问题一:怎么检测前端用户是否是真人在操作?

通常使用用户画像的技术来判断,例如用户的使用习惯,指纹在设备上的位置,GPS信息,点击功能键的时间等等。如果是机器操作,会非常快速而准确,和真人操作特征完全不同。

问题二:对照146号文,移动端的安全检查最好按照什么顺序进行?

对照146号文,银行业者对于其移动端的安全检查建议按照从静态的安全检测到动态的安全检测、从系统到业务、从自动化到人工这样的顺序进行,注意排查数据库录入安全、身份验证信息管理、数据传输安全、应用自身安全等方面可能存在的隐患。

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1