梆梆资讯
金融行业小程序生态,安全准备好了么?
2020-09-02
小程序应用正当时
随着移动互联网的进一步发展,“超级APP+小程序”成为移动互联网时代开发者探索的新模式。以微信、支付宝、百度、美团等移动应用程序(以下简称“APP”)为代表的平台,在其应用中搭载第三方小程序,丰富了向用户提供服务的形式和内容。
随着微信小程序市场的持续拓展,用户规模和渗透率的逐渐提升,各大银行也纷纷开发了专属的小程序作为连通用户的重要渠道,来实现丰富的移动金融服务。一些规模较大的银行,基于各自的手机银行APP,围绕“网点+场景”建立了行方的小程序应用及小程序开发平台,形成了自己的技术生态,小程序已经成为当前金融科技的重要应用场景。
小程序虽好,但有安全风险
小程序面向海量的用户,数据交互跨越金融机构和第三方平台,这就导致了其所面临的攻击面和影响面都被放大。小程序承载的金融数据、个人信息数据更是时刻遭受不法黑客、灰产的攻击威胁。根据梆梆安全的分析研究,金融行业小程序应用安全风险主要来自于如下几个方面:
1、数据风险
小程序应用场景中,很多业务都会涉及到敏感数据输入、数据存储和数据传输,分别面临如下风险:
小程序面临的安全风险
2、合规风险
国家高度重视APP客户端安全,从法规标准、专项治理等多方面开展安全治理,例如JR/T 0092、JR/T 0171等。但小程序作为一个新兴事物,其安全级别是否达标、个人信息保护是否合规,目前都缺乏专门的标准。从之前证券类、基金类小程序被监管强行下线交易功能的案例可以看出,未来一段时间内,金融机构仍然会长期面临合规监管的风险。
3、集成风险
银行开发的小程序应用,需要集成到微信/支付宝等平台上,小程序代码的核心是JS代码,容易被第三方拿到,造成程序源文件泄露,业务逻辑被人分析,如果存在漏洞的话,则可造成较严重的后果。
4、运维风险
微信小程序开发完成上线之后,恶意开发者可通过逆向等方式来窃取核心代码,仿冒伪造小程序。尤其是一些流行的小程序APP,攻击者制作一个仿冒的微信小程序,绕过微信的审核监管流程发布到市场。小白用户如无辨识能力,极可能遭受到钓鱼受骗。根据梆梆安全威胁情报中心监测数据显示,某地方省农信单位相关联的小程序有35个,而近一年未更新的小程序数量占比高达89%,其中超过60%是金融服务类应用。这些未更新的小程序,很有可能是已经无人维护了,或者是仿冒小程序,容易被不法分子加以利用。
某省级农信单位小程序现状
5、业务风险
尽管依托微信、支付宝等平台,小程序具有天然的安全保护能力。但不当的开发依然会导致接口数据泄露等隐患,容易带来恶意信息爬取风险。此外,不法分子利用小程序进行作弊欺诈、薅羊毛、篡改业务数据等行为,也会给企业的业务安全带来了严重的威胁。尤其是在今年疫情期间,各种小程序应用,如生活服务类、政务信息类、金融服务类等数字化服务全面开花,给民众生活带来了便利性的同时,也增添了个人信息泄露、交易信息遭受攻击的风险。
5个步骤保障金融行业小程序安全
基于上述小程序存在的风险分析可以预料,金融监管要求日趋严格,各种网络攻击浪潮呈上升势头。因此,金融机构在开发银行小程序业务时,就必须在程序设计、开发、集成、运营等环节,提供切实有效且满足政策法规要求的解决方案。
基于多年来对移动APP安全技术和监管政策的研究,梆梆安全认为,金融机构需要从数据安全、合规安全、集成安全、运维安全和业务安全等5个维度出发,构建自身的小程序安全防护体系。
1、小程序数据安全防护
数据输入安全:梆梆安全可提供小程序安全软键盘,保护用户的账号、密码、卡号、手机号、身份证号等敏感信息安全。梆梆安全软键盘支持SM2、SM4国密算法,保护用户基于小程序JS页面的输入操作、通信过程的数据安全,防止攻击者非法窃取。
数据存储和传输安全:梆梆安全提供JS密钥白盒,对小程序业务中所产生的敏感数据做加密,保证本地存储以及通信传输过程中的核心数据的安全性,避免被攻击者或者小程序平台第三方获取到敏感的明文数据。
2、小程序合规安全
现阶段,对金融行业而言,小程序应用还处于发展阶段,相对网上银行、移动APP较新。这也意味着,业内尚未有相关标准、规范可以借鉴。近期,中国人民银行237号文《移动金融客户端应用软件安全管理规范》、《JR/T 0171 2020-个人金融信息保护技术规范》和《信息安全技术网络安全等级保护基本要求》中,分别明确规定了不同类型的软件,包括资金交易类、信息采集类、资讯查询类等,都应该符合相应的安全管理要求,要求各机构的应用开发符合安全设计要求、提供风险监控能力、保护个人金融信息。梆梆安全可提供小程序安全合规咨询服务,针对金融机构线上业务相关的一系列信息安全技术、管理、业务、个人信息保护等合规规定,给出专业的咨询建议和整改方案。
合规咨询服务
此外,梆梆还可提供小程序合规安全评估服务,通过人工+自动化相结合的方式,帮助金融机构快速出具合规安全评估报告,覆盖小程序代码安全、Web漏洞、服务器漏洞、业务安全漏洞以及小程序特有安全规范,提供漏洞定位和修复建议,帮助开发者复查和修复漏洞。3、小程序集成安全
梆梆安全可提供小程序安全加固服务,对小程序应用中的核心JS交互逻辑代码提供代码混淆、字符串加密、防调试保护、VMP虚拟化保护,大大提高攻击者分析小程序前端代码逻辑的难度,保障小程序开发完成上线集成阶段的代码自身安全性。4、小程序运维安全梆梆安全可提供全面的移动金融盗版、仿冒监测服务,监测对象覆盖Web网站、移动App、微信公众号和微信小程序,协助金融机构处理自身移动金融应用所遭受的恶意侵权、碰瓷等违规行为。
移动运维监测
5、业务安全
梆梆安全基于自身的H5智能安全分析平台,可向金融机构提供小程序业务安全防护能力。结合移动威胁感知平台,可为金融机构提供覆盖APP、H5、Web、小程序的全渠道安全监控,有效抵御薅羊毛、虚假注册、数据API接口爬取、撞库及暴力破解等业务安全问题。此外,梆梆安全还可针对更具体的单点业务场景进行详细分析,如二维码支付,小程序账户登录等,梳理小程序在业务流程、程序设计、上线部署、运行维护等环节中存在的安全隐患,向金融机构提供针对性的安全解决方案。
随着移动互联网的飞速发展,银行业已经进入智能化、数字化的新时代。网上银行、移动客户端、公众号、小程序相继成为各个银行实现数字化转型的重要载体。小程序凭借开发门槛低、上线速度快、平台覆盖率高等特点,已经成为现阶段银行服务用户的重要移动渠道。伴随而来的小程序应用安全风险,也威胁到金融机构企业以及广大用户的金融信息安全和财产安全。梆梆安全小程序安全解决方案,分别从数据保护、合规、集成、运维和业务安全5大维度出发,覆盖小程序应用的开发设计、测试、上线、运营各个阶段,在保障小程序快速功能迭代和上线的同时,为金融机构的小程序应用稳定安全运行,打造了一套覆盖“事前、事中、事后”的纵深防御体系。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1