2019 年 10 月,00 後田某因非法擷取計算機資訊系統資料罪判處有期徒刑三年,并處罰金人民币一萬元。當事人田某隻有國中文化,但卻擁有極強的計算機天賦,在 2019 年 1 月 5 日到 1 月 15 日期間,通過軟體抓包、PS 身份證、重播攻擊等手段,在某銀行手機銀行 App 内使用虛假身份資訊注冊銀行Ⅱ、Ⅲ類賬戶非法銷售獲利。
案例分析
很多人會好奇銀行 App 是如何被一步步通過抓包、入侵、重播攻擊,進而讓黑客有利可圖。讓我們具體分析下作案過程:
- 首先,田某通過本人身份證資訊,在新增賬號正常流程中,通過「軟體抓包」技術将銀行系統下發的人臉識别身份認證資料包進行攔截并儲存。
- 其次,在輸入開卡密碼環節,田某将 App 傳回到第一步(上傳個人身份證照片),并輸入僞造的身份證資訊,并在此進入人臉識别身份認證環節。
- 最後,田某使用先前攔截的身份認證資料包(含本人資訊)進行上傳驗證,使得銀行系統誤以為此環節需比對本人身份資訊,遂而成功驗證本人人臉,使得其能夠成功利用虛假身份證資訊注冊到銀行賬戶。
用戶端 App 資料安全刻不容緩
在以上案例中,涉及到銀行開戶系統遭受重播攻擊的事件正好映證了移動端針對資料傳輸的加密驗簽的重要性。我們應當如何重新審視用戶端的資料安全問題?通過解析支付寶目前在“端上安全”的設計機制,也許能夠帶給我們一些新的啟發。
首先,我們以移動網關能力舉例,試着重新梳理在重播攻擊的層層環節中如何保障資料傳輸及存儲的安全性。
用戶端 App 資料安全傳輸、安全存儲
針對用戶端的資料傳輸與驗簽,要做到精細化的安全一直是老大難的挑戰。借助“安全黑匣子”,目前支付寶已實作針對應用級别資料如 AppSecret 采用加密存儲,通過資料加簽接口實作各類上層業務的封裝。
借助安全黑匣子,用戶端通過應用公鑰和秘鑰加密針對生成的資料進行離散存儲,保證加密秘鑰的安全性。而安全黑匣子本身的代碼混淆、多重反調試機制,使其安全性能極大提升保障。
除此之外,安全黑匣子基于反調試技術使得常見的調試工具如 GDB、IDA Pro 的動态調試分析技術失效,基于導出表混淆、垃圾指令等手段充分提升攻擊者靜态分析應用的難度。如此動靜結合,用戶端資料傳輸及存儲安全能夠充分保障。
- 當使用者送出個人資訊至用戶端 App 時,MGS 移動網關能夠通過 API 接口進行資料加密,使得下發的身份認證資料包無法被篡改;
- 即使使用者嘗試使用僞造的身份資訊針對資料包進行解密篡改,MGS 移動網關同樣具備驗簽機制,使得資料包無法被解密成功。
- 除卻借助移動網關能力多方面的驗簽加密能力提升 App 被重播攻擊的門檻之外,在業務伺服器的設計中,仍然需要增加對使用者及業務資料的多重驗證,進而徹底保障端上資料的安全防護。
當然,App 資料安全不止于傳輸與存儲。如何提前在開發期做風險預估及安全機制設計,針對使用者端實作資訊多重驗證,以及建構圍繞 App 全生命周期的防護措施,進而能夠真正實作覆寫“App 開發、上線到使用”全鍊路的安全規範:
App 開發期的安全機制設計
支付寶通過打造多層次的端上安全機制進而防止 App 被黑客或木馬攻擊,具體主要分為“本地域”、“線上運作”以及“App 端”三個層面。在本地域方面,通過代碼混淆、加密等手段實作二進制防護;線上運作時,通過“安全黑匣子”打造的資料安全環境以及加密等手段實作資料防洩露;在 App 端,借助資料安全存儲、安全簽名等手段充分確定業務功能的穩定運作。
使用者資訊驗證
随着終端裝置算力的持續增強,目前移動端裝置借助強大的 CPU 和 GPU 完全可以進行非常複雜的運算。而由此催生出的一系列移動端 AI 引擎,如支付寶的 xNN,幫助我們能夠進一步加強使用者資訊驗證的智能化。
結合端上金融業務屬性,如銀行卡及身份證 OCR 識别、人臉識别、活體檢測等智能服務,已經過近 2 億使用者驗證,具備識别準确率高、速度快、子產品豐富等特點,同時在支付寶小程式中也已開放。
App 全生命周期防護
關于用戶端 App 安全,實際上是一套從 App 開發、上線及使用的一站式解決方案。在 App 開發階段,提供代碼混淆、資料加密、資料庫加密等安全開發以及資料安全能力;在上線階段,提供 App 加強的能力,通過 DEX 加殼、SO 加殼、防反編譯、防重打包等能力,提升 App 的整體安全水位;在使用階段,通過 API 簽名、API 資料加密等手段來保障資料的完整性及安全性,同時借助安全加密鍵盤進而保護使用者輸入的資訊安全性。
mPaaS 用戶端 App 安全能力
作為源自支付寶的移動開發平台,mPaaS 目前已完成支付寶金融級的端上安全能力沉澱,不僅能夠提升 App 應對高峰帶寬下的服務品質挑戰,同時在弱網情況下的可用性、針對網絡請求的危險識别能力均屬于行業前列。目前,借助 mPaaS 用戶端的加強技術與黑匣子,能夠保障移動端的代碼安全和網絡層的資料安全,提供加簽、加密等方式,同時網關能夠識别出用戶端環境,并有能力針對可疑請求做攔截。
結合中國人民銀行于 2019 年 9 月出台的《移動金融用戶端應用軟體安全管理規範》,針對用戶端應用在資料安全、身份認證安全、功能安全設計、密碼秘鑰管理、資料安全、安全輸入、抗攻擊能力等方面均提出明确要求,全面覆寫用戶端應用在設計、開發、釋出及運維的全生命周期。
mPaaS 産品目前已認證中國金融認證中心的安全測評,并服務銀行、證券、政務、交通等衆多行業超過 2000 家客戶。同時,針對用戶端安全方面 mPaaS 提供全方位安全防護方案,真正幫助企業打造安全穩定的移動應用,更好地做到技術驅動業務創新、為業務帶來美好體驗。