绿盟科技威胁情报中心近期发现在全国各地的多个市场活动中,手机银行的安全风险成为了关注热点,据调查:“90%以上的手机银行可被劫持”,这个数据或许有些耸人听闻,而在2016年8月31日,以“未来安全 探索盛会”为主题的XPwn 2016大会上,有来自移动互联网系统与应用安全国家工程实验室的安全专家用真实的测试数据对互联网金融App安全问题进行了详细阐述,安全问题非常突出,对于手机银行方面的交易劫持问题,已成为攻击者和安全研究者重点关注的攻击手段。
本方案就是在上述背景分析下,绿盟科技通过对多个实际的手机银行应用进行再分析,从中发现与交易劫持有直接或间接关系的风险点,从而了解攻击者的攻击思路,并为绿盟科技的金融客户提出相应的解决办法,对有可能出现的劫持攻击进行预防,确保相关移动应用的安全。
图1 手机银行交易业务场景
如上图,用户登录后,输入交易信息(卡号、姓名、交易金额、银行开户行等信息)提交后,银行返回交易信息并下发交易短信(包括转账姓名、卡号后四位、金额等信息),返回的交易信息用于用户二次确认信息是否正确,输入短信验证码和交易密码进行转账。
从上述业务场景分析看到,该流程为通用规范流程,但并非所有手机银行应用都完全遵守此流程,这就给攻击者以可乘之机,攻击者可尝试对手机银行应用进行深度分析,并对交易流程的关键环节尝试进行劫持。
通过分析发现可被攻击者进行交易劫持攻击的场景有三类:
(1) 没有完全遵循交易流程规范的APP
这种场景由于没有遵循交易流程规范,就会在交易的数据交互、信息核对、交易验证等环节存在被劫持的风险。
(2) 基本遵循交易流程规范的APP
这种场景遵循了交易流程规范就可以规避(1)中的问题,攻击者就会尝试挖掘流程规范本身的业务架构、业务逻辑、业务流程等环节存在被劫持的风险。
(3) 遵循交易流程规范且附加额外安全措施的APP
这种场景相对(1)(2)来说比较安全,但是在引入额外安全措施时,一方面需要确认安全措施确实解决了交易被劫持的风险,另一方面,需要确保安全措施本身不存在被绕过或其他安全问题。
通过以上对于交易风险的分析,可知攻击者大体攻击思路是这样的,由于数据被加密或者签名,所以通过网络劫持修改转账数据不可能实现,因此必须攻击手机银行App本身,发现App设计的缺陷进行劫持。
(1)攻击者通过深度分析App的业务架构、业务逻辑、业务流程等交易环节来寻找可被利用来实现交易劫持的漏洞。
(2)攻击者通过跟踪和分析交易数据输入输出、交互过程、验证核对等交易环节,寻找可被利用来实现用户数据劫持的漏洞。
通过上述分析,可知手机银行的保护方案重点将讨论如何保护手机银行App本身,防护思路采用通过在关键环节保护,从而防止遭受劫持攻击。
通过以上对劫持攻击的思路分析,攻击者只有通过攻击手机银行App本身,才能实现劫持,而攻击的目标就是劫持关键交易环节,因此我们只要对手机银行App的关键环节部署防护手段,增加攻击者的攻击难度和攻击成本,即可实现防护效果。
攻击者发起交易劫持攻击的目标是获取用户交易数据,因此我们还需要对手机银行App的关键交易数据进行分析和追踪,在可能被劫持导致用户数据泄露的位置部署安全防护手段,从而实现防护效果。
绿盟科技手机银行App交易安全防护解决方案---依托绿盟科技多年的金融行业安全研究和服务经验,结合金融交易不同业务场景的安全风险定制开发手机银行App交易安全防护组件,从而建立起对金融交易流程中的各个重要环节的纵深防护体系,可有效帮助客户解决手机银行App交易面临的各种安全风险问题。
(本文仅对绿盟科技手机银行App交易安全防护解决方案进行简要描述,详细技术细节请与当地技术人员联系获取)
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
绿盟科技微信号: NSFOCUS-weixin
绿盟安全管家APP:
全网最新安全资讯,让您一手掌握,并能随时随地查看绿盟安全设备运行状态,给您带来最好的服务体验。想要了解更多,快来扫描二维码下载吧!
联系客服