开户功能遭入侵攻击,银行 App 数据安全如何保护?
2019 年 10 月,00 后田某因非法获取计算机信息系统数据罪判处有期徒刑三年,并处罚金人民币一万元。当事人田某只有初中文化,但却拥有极强的计算机天赋,在 2019 年 1 月 5 日到 1 月 15 日期间,通过软件抓包、PS 身份证、重放攻击等手段,在某银行手机银行 App 内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户非法销售获利。
案例分析
很多人会好奇银行 App 是如何被一步步通过抓包、入侵、重放攻击,从而让黑客有利可图。让我们具体分析下作案过程:
- 首先,田某通过本人身份证信息,在注册账号正常流程中,通过「软件抓包」技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。
- 其次,在输入开卡密码环节,田某将 App 返回到第一步(上传个人身份证照片),并输入伪造的身份证信息,并在此进入人脸识别身份认证环节。
- 最后,田某使用先前拦截的身份认证数据包(含本人信息)进行上传验证,使得银行系统误以为此环节需比对本人身份信息,遂而成功验证本人人脸,使得其能够成功利用虚假身份证信息注册到银行账户。
客户端 App 数据安全刻不容缓
我们应当如何重新审视客户端的数据安全问题?通过解析支付宝目前在“端上安全”的设计机制,也许能够带给我们一些新的启发。
App 开发期的安全机制设计
支付宝通过打造多层次的端上安全机制从而防止 App 被黑客或木马攻击,具体主要分为“本地域”、“线上运行”以及“App 端”三个层面。在本地域方面,通过代码混淆、加密等手段实现二进制防护;线上运行时,通过“安全黑匣子”打造的数据安全环境以及加密等手段实现数据防泄露;在 App 端,借助数据安全存储、安全签名等手段充分确保业务功能的稳定运行。
客户端 App 数据安全传输、安全存储
针对客户端的数据传输与验签,要做到精细化的安全一直是老大难的挑战。借助“安全黑匣子”,目前支付宝已实现针对应用级别数据如 AppSecret 采用加密存储,通过数据加签接口实现各类上层业务的封装。
借助安全黑匣子,客户端通过应用公钥和秘钥加密针对生成的数据进行离散存储,保证加密秘钥的安全性。而安全黑匣子本身的代码混淆、多重反调试机制,使其安全性能极大提升保障。
除此之外,安全黑匣子基于反调试技术使得常见的调试工具如 GDB、IDA Pro 的动态调试分析技术失效,基于导出表混淆、垃圾指令等手段充分提升攻击者静态分析应用的难度。如此动静结合,客户端数据传输及存储安全能够充分保障。
用户信息验证
随着终端设备算力的持续增强,目前移动端设备借助强大的 CPU 和 GPU 完全可以进行非常复杂的运算。而由此催生出的一系列移动端 AI 引擎,如支付宝的 xNN,帮助我们能够进一步加强用户信息验证的智能化。
结合端上金融业务属性,如银行卡及身份证 OCR 识别、人脸识别、活体检测等智能服务,已经过近 2 亿用户验证,具备识别准确率高、速度快、模块丰富等特点,同时在支付宝小程序中也已开放。
App 全生命周期防护
关于客户端 App 安全,实际上是一套从 App 开发、上线及使用的一站式解决方案。在 App 开发阶段,提供代码混淆、数据加密、数据库加密等安全开发以及数据安全能力;在上线阶段,提供 App 加固的能力,通过 DEX 加壳、SO 加壳、防反编译、防重打包等能力,提升 App 的整体安全水位;在使用阶段,通过 API 签名、API 数据加密等手段来保障数据的完整性及安全性,同时借助安全加密键盘从而保护用户输入的信息安全性。
mPaaS 客户端 App 安全能力
作为源自支付宝的移动开发平台,mPaaS 目前已完成支付宝金融级的端上安全能力沉淀,不仅能够提升 App 应对高峰带宽下的服务质量挑战,同时在弱网情况下的可用性、针对网络请求的危险识别能力均属于行业前列。目前,借助 mPaaS 客户端的加固技术与黑匣子,能够保障移动端的代码安全和网络层的数据安全,提供加签、加密等方式,同时网关能够识别出客户端环境,并有能力针对可疑请求做拦截。
结合中国人民银行于 2019 年 9 月出台的《移动金融客户端应用软件安全管理规范》,针对客户端应用在数据安全、身份认证安全、功能安全设计、密码秘钥管理、数据安全、安全输入、抗攻击能力等方面均提出明确要求,全面覆盖客户端应用在设计、开发、发布及运维的全生命周期。
mPaaS 产品目前已通过中国金融认证中心的安全测评,并服务银行、证券、政务、交通等众多行业超过 2000 家客户。同时,针对客户端安全方面 mPaaS 提供全方位安全防护方案,真正帮助企业打造安全稳定的移动应用,更好地做到技术驱动业务创新、为业务带来美好体验。
开户功能遭入侵攻击,银行 App 数据安全如何保护?相关推荐
- 鸿蒙系统需要绑定银行卡吗,微众银行APP开户遇到的常见问题
微众银行自上线以来就致力于为普罗大众.微小企业提供差异化.有特色.优质便捷的金融服务.微众银行APP在 2015 年 8 月 15 上线,用户体验亲切简单,操作方便,但是有些用户会在开户过程中遇到一些 ...
- GitHub 疑遭中间人攻击,最大暗网托管商再被黑!
整理 | 伍杏玲 出品 | 程序人生(ID:coder_life) 近期,在全球关注新冠肺炎疫情之际,黑客却频频动作,发动攻击: GitHub 疑遭中间人攻击,无法访问 从26日下午开始,有网友表示国 ...
- 尤金·卡巴斯基:卡巴斯基实验室调查内网遭黑客攻击事件
猫宁!!! 尤金·卡巴斯基介绍: 尤金·卡巴斯基出生于黑海沿岸的新罗西斯克,父亲担任工程师,母亲是书库管理员.母亲常买许多数学杂志供其阅读.他在16岁就跳级进入密码.电信与计算机科学学院就读,从198 ...
- GitHub 遭黑客攻击勒索;苹果夸大 iPhone 电池续航时间;全球第二大暗网被摧毁 | 极客头条...
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- 瑞星09年第一季度安全报告:8亿网民遭木马攻击
4月16日,瑞星公司发布<中国大陆地区2009年第一季度挂马网站安全威胁报告>(以下简称"<瑞星安全报告>"),瑞星"云安全"系统提供的 ...
- 佳明、杜斯曼集团等巨头遭勒索攻击;Emotet利用新技术实施攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 勒索攻击层出不穷. 两大跨国巨头遭勒索攻击 最近,知名 GPS 导航设备及运动穿戴设备制造商佳明 (Garmin) 官方证实称遭到勒索 ...
- 手机银行APP评测系列:天津银行持续优化手机银行用户体验,但仍需加强细节提升
易观分析:作为银行金融服务线上场景渗透的有效抓手,当前手机银行APP已经成为其触达用户的重要渠道.随着银行发力场景服务平台成为发展趋势,5G技术问世对金融服务场景端提出新要求,用户体验反馈成为银行线上 ...
- 新年警惕:多数手机银行App存安全隐患
本文讲的是 : 新年警惕:多数手机银行App存安全隐患 ,[IT168 编译]Praetorian的安全专家本月测试了275个苹果iOS和Android手机银行应用程序,这些应用程序来自50家个主 ...
- P2P网贷易遭黑客攻击
本文讲的是 P2P网贷易遭黑客攻击,P2P网贷的超高利率并不是那些缺乏现金的借款人唯一担心的事情,这些大批新兴的互联网金融网站也吸引了网络罪犯的注意.他们盯上了用户的账户信息,并将这些信息用于盗取存款 ...
最新文章
- Spring Security基于角色的权限管理
- 从薪资、需求来分析,武汉Java开发就业前景好不好?
- 王者荣耀最难选择题2选1,刺痛cos虞姬,还是北极星露脸?我选一
- 做 局域网聊天 的人越来越多了
- 导入 kotlin(7)
- 交换机tftp服务器修改ip,华为交换机tftp服务器地址
- Grad-CAM 神经网络特征图可视化
- 如何修改CSDN的ID号
- 什么是PXE及PXE作用
- 六度空间理论(数据结构图,c语言版)
- flash player 9 安装错误:您尝试安装的adobeflashplayer版本不是最新版本
- 电子元器件符号+实物图+命名规则(太全了,绝对收藏)
- 对垒以太网10BASE-T1S,CAN XL能后来居上么?
- 盒式交换机S5750系列指示灯含义
- 汉字转拼音 - 输入汉字获取其拼音
- 人工智能入门:第一章 人工智能课程介绍及环境配置
- Java 并发编程—— Exchanger 应用,java软件开发工程师面试题
- XDOJ 哥德巴赫猜想
- ESP-AT 实践:如何使用两个 ESP32 设备,通过 AT 指令进行 BT SPP 通信?
- 计算机应用基础网络核心课程,[高职院校《计算机应用基础》“核心+拓展”课程建设初探] 计算机应用基础 2018...