梆梆资讯
银行App漏洞致千万损失 梆梆安全帮您揪出攻击黑手
2018-12-19
日前,上海公安机关成功破获一起利用网上银行漏洞非法获利千万的犯罪案件。在本起案件里,犯罪团伙利用某银行App软件中的质押贷款业务安全漏洞,使用非法手段获取该行储户账户信息,在账户中存入少量金额后办理定期存款,并通过技术软件成倍放大存款金额,藉此获得质押贷款,累计非法获利2800余万元。
业务安全隐患黑客获利仅用四步
梆梆安全专家表示,在App逐渐成为企业业务主要载体的今天,这类的业务安全漏洞问题其实大量存在,而导致这类问题广泛存在的核心原因在于以下四点:
1.服务端缺少与业务逻辑相关的安全设计
2.服务端编码存在缺陷容易导致漏洞产生
3.测试阶段没有进行必要的安全测试
4.生产环境中缺少必要的业务渗透安全测试
5.运维阶段缺少应用运行时安全监测
“正是因为这些原因给了黑客入侵攻击的机会”,梆梆安全专家提出,借助这些安全隐患黑客只需要4个步骤就能完成攻击并非法获取暴利。
第一步:在具备一定攻击环境(如被Root、被越狱的手机,或安装有Xposed、Frida等攻击框架的手机)的手机上安装应用,或同时在手机上安装不可信根证书以便于分析请求数据。
第二步:编写模块和脚本,注入运行时的目标App进程,以获取业务数据重建业务模型;
第三步:在上述基础上,通过篡改参数的方式,寻找服务端可能存在的安全漏洞;
第四步:通过找到的漏洞完成针对业务的攻击,并最终藉此非法获取暴利。
云管端攻击套路黑客驾轻就熟
这类攻击的途径一般都会选择“云管端”中的一条或者几条中的安全隐患发起:
云端:黑客对服务器的攻击,主要是利用了业务逻辑安全设计缺乏、代码安全缺陷、未在应用上线前进行安全性测试、H5和JAVA等代码存在裸奔等安全隐患。
管道:黑客对于管道通信的攻击方式主要包括通信密钥破解、明文数据截取、中间人攻击、通信数据劫持、通信数据伪造等。
终端:黑客对于移动客户终端应用的攻击方式主要包括Android应用破解、iOS应用破解、H5应用破解、Hybird混合应用破解、应用动态调试分析、应用数据篡改等。
而在本次案件里,黑客攻击所利用的是典型的终端操作风险监控缺失安全漏洞。黑客通过在客户端的渗透测试,发现了该App业务逻辑上的漏洞。整个攻击过程中从2018年5月一直持续到2018年11月,在此期间,在安装有Xposed攻击框架的Root手机设备上,黑客采用了调试、注入攻击、设备伪造、位置欺诈和交易数据篡改等一些列攻击手段,但行方一直未能发现,这也体现了其终端操作风险监控的缺失。
2018年中国人民银行发文《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》(银办发﹝2018﹞146号)中明确指出,各银行及金融支付机构的移动App应该做环境可信风险监测,及时发现客户端的各类风险和攻击行为。
抓住四个阶段 揪出攻击黑手
知己知彼百战不殆,既然已经知晓了黑客的攻击方式和套路,那么就可以采取针对性的全面封堵防护措施,揪出各类攻击黑手,及时预防巨额损失事件的发生。
梆梆安全专家认为,面临移动领域里众多的可攻击面需要采取精准的安全防护动作,从开发阶段、测试阶段到发布阶段、运维阶段,实现移动业务应用全生命周期的安全防御范围覆盖,不给黑客等恶意攻击者任何可乘之机。
开发阶段:从安全咨询、安全开发管理控制两个维度,落实基于自适应安全保护理论的开发管理流程。本次案件造成了人力、时间等成本的巨大损耗,如果在该移动业务应用实现过程中就针对威胁漏洞进行检查和修复,完全可以避免此次事件的发生。将安全工作前置是每一位安全管控人员、应用开发人员需要予以考虑的事情。具体而言就是在业务应用设计前,即从环境、法规、技术等方面全盘考虑潜在的风险威胁,分析安全需求,并在应用设计实现过程中实现安全需求。针对应用潜在风险、威胁和脆弱性做到早考虑、早发现、早解决,有效缓解安全测试压力,降低因安全工作后置所导致的安全整改开销成本。梆梆安全的应用安全开发管理平台产品就是将安全工作前置,为应用开发提供安全管理控制流程,提出安全要求,为应用安全提供保险,以合理的成本投入使应用获得最大的安全保障。
测试阶段:综合考虑安全性测试与合规性测试,在保障业务应用安全性的同时,使其还能符合国家、行业监管单位的安全性要求。银行业务App的一个安全漏洞,导致千万元资金损失以及行方的名誉受损,提前发现、修补好业务应用漏洞方是避免此类事件再次发生的良策。由此可见,在应用上架之前,全面的安全检测是非常重要和必要的。对于App类业务应用,安全检测需要涵盖应用程序的源代码安全、数据存储安全、通信传输安全和应用自身恶意攻击防范能力等方面。其中,通信数据传输安全主要是检测通信数据自身的保密性、传输过程中的安全性和数据收发双方身份验证等方面,这类安全隐患可能导致中间人攻击、传输数据泄露或篡改等,这些隐患都可能给金融类App用户以及金融机构造成巨额损失。
梆梆安全的应用安全测评平台,支持Android+iOS+Web三大平台的应用安全检测,通过静态代码分析、动态攻击检测和源码扫描等检测技术,针对超过100种的检测项目进行漏洞扫描分析,可全方位排查应用代码中存在的潜在风险漏洞,为客户输出专业的应用安全检测结果报告。
发布阶段:要考虑进行源代码层面的安全加固和应用客户端层面的加固保护。也就是说,要实现对业务应用安全防护的内外兼修。对内,做好业务应用的源代码安全加固工作。对外,为iOS应用、Android应用、H5应用、服务端JAVA应用做好加固保护。让业务应用正式发布上线后,拥有足够的安全防护能力。
运维阶段:在业务应用上线后需要对其采取实时的风险监控及预警、实时的盗版监控及预警,提前发现各类攻击风险动作,提前采用适合的防护策略。梆梆安全移动威胁感知平台,利用梆梆安全在移动终端多年的技术积累,通过在应用中植入威胁情报采集探针,综合利用威胁监测、情报采集、大数据分析、机器学习等多项技术的整合,能够及时发现客户端运行过程中所遭遇的攻击行为和安全风险,帮助管理人员提前发现非法用户和恶意攻击者,填补了银行业机构业务风控系统对终端风险监控的缺失。自2015年上线以来,梆梆安全移动威胁感知平台致力于移动应用运行过程的操作风险监测、预警、防御,已经服务于数十家金融机构和大型企事业单位。
小漏洞、大问题,全面的安全考量、提前的安全防护、及时的安全响应,在企业业务数字化、移动化全面转型的新时代下,我们在重要节点(如各类业务应用终端)上的安全防护一定要快恶意攻击者半步、甚至一步。落后就要挨打、落后就会遭受不可估量的损失,揪出攻击黑手安全防护越早越好!
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1