事件源于2017年2月27日,某金融信息服务有限公司发现其旗下一款APP软件被多人利用黑客手段攻击,半天时间内即被非法提现人民币1056万元,遂向公安机关报案。公安机关第一时间开展侦查,争分夺秒开展APP平台服务器数据梳理,当日即分析出嫌疑人的作案手法并成功封堵漏洞,为公司和投资人避免了更大损失。
经查,缘由是一名嫌疑人利用APP平台漏洞,使用黑客手段篡改APP充值过程中的请求金额数据,导致平台入账金额异常,并迅速进行提现操作实施犯罪。作案得手后,该嫌疑人又通过互联网传授作案方法,致使该漏洞被大量传播利用。至案发,共有422个异常APP账户使用该方法进行恶意充值,其中269个提现成功。
海云安分析:
这是一件典型的针对金融支付APP应用系统漏洞,使用黑客手段进行破解篡改获取非法利益的案件,黑客通过对移动业务系统中的APP端及通讯链路进行劫持干扰,篡改通讯协议通道中的请求指令数据等,向服务器业务系统发送错误指令,达到了非法获利的目的,直接对该企业的移动金融业务的开展造成了重大影响。
其实,早在去年相关研究结构就在发布的《移动互联网金融APP信息安全现状白皮书》中指出,当前国内移动互联网金融类APP存在着十大安全隐患:
1. 通信数据明文发送
客户端APP与服务器端交互的数据通过明文的通信信道传输。
2. 通信数据可解密
客户端APP与服务器端交互的数据加密传输,但数据依然可以被解密。
3. 敏感数据本地可破解
客户端APP将敏感数据(如登录密码,手势密码等)以明文存储在本地,或加密存储但通过逆向分析程序可以破解该数据。
4. 调试信息泄漏
客户端APP将开发时帮助调试的信息打印出来,这些信息通常包含一些敏感的参数,消息的明文等。
5. 敏感信息泄漏
客户端APP代码中泄漏敏感数据,如对称加密密钥,非对称加密中的私钥,认证使用的共享密钥,不应被暴露的后台服务器管理地址等等。
6. 密码学误用
客户端APP代码中使用了不安全的密码学实现,例如固定硬编码的对称加密,ECB模式的对称加密,CBC模式中IV固定,不安全的公钥进行非对称加密等。
7. 功能泄露
客户端APP中高权限的行为和功能(如发送短信,读取联系人等)没有被安全的保护,被其他无授权的应用程序调用或访问。
8. 可二次打包
客户端APP可被修改代码后,重新打包发布在市场上供用户下载。
9. 可调试
客户端APP能够被调试,动态的提取、修改运行时的程序数据和逻辑。
10. 代码可逆向
客户端APP的逻辑能够被轻易获取和逆向,得到代码和程序中的敏感数据。
一旦不法分子利用此类金融APP中存在的诸多安全漏洞进行攻击,轻则窃取无辜民众的财产,重则扰乱金融市场秩序,甚至对国家和社会的安全稳定发展造成极大负面影响。
那么,到底应该如何解决这些安全隐患呢?互联网金融企业又如何来保护自身APP安全呢?针对这些问题,及时进行查漏补缺是关键,移动金融业务系统一般由智能硬件终端(目前一般指智能手机)、移动应用APP、相应业务处理服务器三部分组成,目前的移动金融业务系统中最容易遭受攻击威胁的就是移动APP客户端跟服务器两部分,其中移动应用APP普遍存在着大量可攻击漏洞,而后端服务器部分又往往是黑客针对移动业务的攻击重点。
针对以上严峻的安全问题,海云安推出了涵盖 APP深度风险检测、应用加固及后端服务器安全防御于一体的移动应用安全服务体系,针对移动金融领域面临的安全问题带来了一套完整的解决方案——开发阶段通过安全检测可发现APP潜在的安全隐患,帮助互联网金融企业防范于未然;通过高强度的APP加固服务可以全方位防止APP客户端被破解篡改问题;通过智能移动应用防火墙产品,有效保护了后端通信数据安全,并针对攻击欺诈行为进行有效防御。 通过检测、加固、防御多方位于一体,从而实现了对移动金融业务的有效保护。目前凭借系列优质服务,海云安已经服务于微众银行、平安银行、招商证券广发基金、顺丰速运、红岭创投等诸多知名企业。