首页
论坛
课程
招聘

三六零天御送给银行APP的新年安心礼包

2018-12-18 17:50

一旦黑客入侵成功,金融行业面临的不但是大笔资金的损失,还有其因系统安全受损引发的对其能否保证客户资金往来在线操作安全性的质疑。事实上,具体问题需要具体分析,黑客攻击的有时是金融机构本身,而非普通消费者,只是消费者的账户信息很容易被利用成为攻击链条的一段工具。资金的损失可以通过公安机构、技术合作伙伴进行追查挽回,但安全能力受损产生的信用形象阴影却难以祛除。

面对近日猖獗的APP漏洞利用引发银行机构受损的案例,三六零天御团队对应用市场上数十款金融类APP进行分析检测,发现绝大多数的APP都有进行相关的安全防护,但新的安全问题不断涌现。在应用运行和通信链路两个维度三六零天御有了一些发现:

1. JavaScript 动态下发核心代码风险

为了追求开发效率,通过webview动态加载JS的方式实现其应用核心功能。由于JavaScript逆向难度低,动态下发的JavaScript无法被应用自身的安全防护手段保护,导致应用核心功能的安全风险大大增高。加之对于下发的JavaScript没有进行任何混淆处理明文下发。

通过分析JavaScript业务代码,黑客可以逆向解读应用的核心逻辑,有针对性的通过应用挖掘服务端漏洞,最终实现攻击金融机构核心资产的目的。

2. 通信链路安全风险

通信上使用的https存在客户端忽略服务端证书和单向校验证书的漏洞,导致黑客通过构造https sever 进行中间人攻击,进而无任何压力的截取明文JavaScript业务代码以及服务端和客户端的业务通信信息。

通过中间人伪造通信,黑客可以对于业务通信进行劫持伪造,动态修改上下行信息,使金融APP的客户和金融机构造成巨大的经济损失。 

对于上述的攻击手段,三六零天御提供以下安全解决方案,可有效应对此类安全攻击。

1)应用漏洞检测礼包

近期的银行app漏洞事件中,核心是应用和业务逻辑漏洞利用。在应用上架之前,建议使用三六零天御的安全评估产品——360评估保,进行全方位“体检”,及时发现应用安全问题,并进行修复。

三六零天御集成了360多个安全团队的检测能力,可从应用漏洞检测、应用合规检测、应用安全检测、业务安全检测四个方面、近百种安全检测项目,为客户提供专业全面的评估报告。

2)通信协议加密礼包

通信协议破解,已经成为黑客最常用的破解手段之一,如可以对下发JavaScript代码进行动态修改,从而进行中间人攻击,建议使用通信协议加密保护方案,为客户端和服务端的通信数据安全提供了安全保障,通过采用SSL和TLS安全的传输加密协议组织攻击者分析网络数据,并对https通信证书进行校验和锁定,有效屏蔽中间人攻击,保护通信中的协议安全。

3)H5加固礼包

对于使用JavaScript文件进行核心功能开发的用户,建议对JavaScript文件进行加密处理,以防止明文代码被泄露,三六零天御提供的H5保护方案,通过将JavaScript代码进行混淆加密、压缩等手段达到对JS文件的反调试、反窃取、反篡改等保护,大大提高JavaScript文件的安全性。

该方案可以用于保护APP、微信小程序、快应用等多个场景。

4)危险环境检测礼包

一般黑客攻击在攻击银行客户端APP时,都会在有安全风险的终端环境上运行,比如Xposed、ROOT、模拟器、双开、可疑进程、Host篡改等等。 

通过三六零天御提供的环境检测功能,可以实时监测Android移动设备上存在的恶意环境,识别异常设备集中存在的地理位置,并快速判定存在业务欺诈嫌疑的设备。

三六零天御秉持三六零安全大脑的理念,对用户安全赋能,帮助用户开发安全的应用软件,共同营造绿色共赢的移动端环境。

如需进行移动安全方案咨询,可联系三六零天御官方工作人员

官方邮箱:360tianyu@360.cn

官方电话:010-56821870



声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论