2019 年 10 月,00 後田某因非法獲取計算機信息系統數據罪判處有期徒刑三年,並處罰金人民幣一萬元。當事人田某隻有初中文化,但卻擁有極強的計算機天賦,在 2019 年 1 月 5 日到 1 月 15 日期間,通過軟件抓包、PS 身份證、重放攻擊等手段,在某銀行手機銀行 App 內使用虛假身份信息註冊銀行Ⅱ、Ⅲ類賬戶非法銷售獲利。
案例分析
很多人會好奇銀行 App 是如何被一步步通過抓包、入侵、重放攻擊,從而讓黑客有利可圖。讓我們具體分析下作案過程:
- 首先,田某通過本人身份證信息,在註冊賬號正常流程中,通過「軟件抓包」技術將銀行系統下發的人臉識別身份認證數據包進行攔截並保存。
- 其次,在輸入開卡密碼環節,田某將 App 返回到第一步(上傳個人身份證照片),並輸入僞造的身份證信息,並在此進入人臉識別身份認證環節。
- 最後,田某使用先前攔截的身份認證數據包(含本人信息)進行上傳驗證,使得銀行系統誤以爲此環節需比對本人身份信息,遂而成功驗證本人人臉,使得其能夠成功利用虛假身份證信息註冊到銀行賬戶。
客戶端 App 數據安全刻不容緩
我們應當如何重新審視客戶端的數據安全問題?通過解析支付寶目前在“端上安全”的設計機制,也許能夠帶給我們一些新的啓發。
App 開發期的安全機制設計
支付寶通過打造多層次的端上安全機制從而防止 App 被黑客或木馬攻擊,具體主要分爲“本地域”、“線上運行”以及“App 端”三個層面。在本地域方面,通過代碼混淆、加密等手段實現二進制防護;線上運行時,通過“安全黑匣子”打造的數據安全環境以及加密等手段實現數據防泄露;在 App 端,藉助數據安全存儲、安全簽名等手段充分確保業務功能的穩定運行。
客戶端 App 數據安全傳輸、安全存儲
針對客戶端的數據傳輸與驗籤,要做到精細化的安全一直是老大難的挑戰。藉助“安全黑匣子”,目前支付寶已實現針對應用級別數據如 AppSecret 採用加密存儲,通過數據加簽接口實現各類上層業務的封裝。
藉助安全黑匣子,客戶端通過應用公鑰和祕鑰加密針對生成的數據進行離散存儲,保證加密祕鑰的安全性。而安全黑匣子本身的代碼混淆、多重反調試機制,使其安全性能極大提升保障。
除此之外,安全黑匣子基於反調試技術使得常見的調試工具如 GDB、IDA Pro 的動態調試分析技術失效,基於導出表混淆、垃圾指令等手段充分提升攻擊者靜態分析應用的難度。如此動靜結合,客戶端數據傳輸及存儲安全能夠充分保障。
用戶信息驗證
隨着終端設備算力的持續增強,目前移動端設備藉助強大的 CPU 和 GPU 完全可以進行非常複雜的運算。而由此催生出的一系列移動端 AI 引擎,如支付寶的 xNN,幫助我們能夠進一步加強用戶信息驗證的智能化。
結合端上金融業務屬性,如銀行卡及身份證 OCR 識別、人臉識別、活體檢測等智能服務,已經過近 2 億用戶驗證,具備識別準確率高、速度快、模塊豐富等特點,同時在支付寶小程序中也已開放。
App 全生命週期防護
關於客戶端 App 安全,實際上是一套從 App 開發、上線及使用的一站式解決方案。在 App 開發階段,提供代碼混淆、數據加密、數據庫加密等安全開發以及數據安全能力;在上線階段,提供 App 加固的能力,通過 DEX 加殼、SO 加殼、防反編譯、防重打包等能力,提升 App 的整體安全水位;在使用階段,通過 API 簽名、API 數據加密等手段來保障數據的完整性及安全性,同時藉助安全加密鍵盤從而保護用戶輸入的信息安全性。
mPaaS 客戶端 App 安全能力
作爲源自支付寶的移動開發平臺,mPaaS 目前已完成支付寶金融級的端上安全能力沉澱,不僅能夠提升 App 應對高峯帶寬下的服務質量挑戰,同時在弱網情況下的可用性、針對網絡請求的危險識別能力均屬於行業前列。目前,藉助 mPaaS 客戶端的加固技術與黑匣子,能夠保障移動端的代碼安全和網絡層的數據安全,提供加簽、加密等方式,同時網關能夠識別出客戶端環境,並有能力針對可疑請求做攔截。
結合中國人民銀行於 2019 年 9 月出臺的《移動金融客戶端應用軟件安全管理規範》,針對客戶端應用在數據安全、身份認證安全、功能安全設計、密碼祕鑰管理、數據安全、安全輸入、抗攻擊能力等方面均提出明確要求,全面覆蓋客戶端應用在設計、開發、發佈及運維的全生命週期。
mPaaS 產品目前已通過中國金融認證中心的安全測評,並服務銀行、證券、政務、交通等衆多行業超過 2000 家客戶。同時,針對客戶端安全方面 mPaaS 提供全方位安全防護方案,真正幫助企業打造安全穩定的移動應用,更好地做到技術驅動業務創新、爲業務帶來美好體驗。