隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)����,大力發(fā)展移動(dòng)金融業(yè)務(wù)、不斷提高對(duì)傳統(tǒng)服務(wù)的替代率已經(jīng)成為商業(yè)銀行等傳統(tǒng)金融機(jī)構(gòu)的重要戰(zhàn)略����。傳統(tǒng)金融機(jī)構(gòu)自身在移動(dòng)領(lǐng)域技術(shù)儲(chǔ)備不足的情況下����,為了快速占領(lǐng)業(yè)務(wù)制高點(diǎn)往往會(huì)選擇將系統(tǒng)外包開(kāi)發(fā)����。
以移動(dòng)銀行系統(tǒng)為例,開(kāi)通相關(guān)業(yè)務(wù)的國(guó)有商業(yè)銀行、全國(guó)性股份制商業(yè)銀行和城市商業(yè)銀行超過(guò)80%都是外包開(kāi)發(fā)的����。外包的引入推動(dòng)了移動(dòng)金融創(chuàng)新的步伐����,快速打造了WAP手機(jī)銀行����、短信銀行����、APP手機(jī)銀行、微信銀行等系列產(chǎn)品����,為用戶提了豐富的移動(dòng)金融服務(wù)����。
需要警惕的是����,尚無(wú)互聯(lián)網(wǎng)安全經(jīng)驗(yàn)的商業(yè)銀行還沒(méi)有充分認(rèn)識(shí)到:移動(dòng)金融盛世之下也正在孕育著一個(gè)新的巨大的黑產(chǎn)市場(chǎng)。
外包開(kāi)發(fā)的移動(dòng)金融應(yīng)用在安全性方面存在巨大隱患:以筆者多年在安全企業(yè)的從業(yè)經(jīng)驗(yàn)來(lái)看����,外包的開(kāi)發(fā)人員水平參差不齊����,大部分外包開(kāi)發(fā)人員在安全方面的技能和意識(shí)幾乎可以忽略不計(jì);外包商的信息安全管理水平也較差����,甚至難以保障自身的安全性,更不要說(shuō)交付的系統(tǒng)����。
過(guò)去幾年����,業(yè)內(nèi)很多安全團(tuán)隊(duì)都已經(jīng)著手開(kāi)始移動(dòng)金融特別是移動(dòng)銀行方面的安全研究����。事實(shí)證明,我們看到的安全現(xiàn)狀比想象中的更加糟糕����。在今年業(yè)內(nèi)的幾個(gè)安全會(huì)議中����,筆者也分享過(guò)一些漏洞案例和測(cè)試結(jié)果?���,F(xiàn)在筆者把一些外包管理中的典型安全問(wèn)題整理成文,供業(yè)界參考����。同時(shí)也希望起到拋磚引玉的作用����,請(qǐng)業(yè)內(nèi)的大牛們不吝賜教����。
【案例一:圖形驗(yàn)證碼邏輯后門可導(dǎo)致大量用戶賬號(hào)被竊取】
案例概述
Y公司是一個(gè)已經(jīng)上市的信息科技公司,國(guó)內(nèi)多家商業(yè)銀行都是其客戶����。我們?cè)诜治鯵公司的移動(dòng)銀行產(chǎn)品時(shí)����,發(fā)現(xiàn)產(chǎn)品的圖形驗(yàn)證碼機(jī)制存在邏輯后門可以被繞過(guò)����,利用這個(gè)缺陷可以竊取大量用戶賬號(hào)����。由于外包團(tuán)隊(duì)的代碼復(fù)用,我們已經(jīng)在至少兩家商業(yè)銀行的移動(dòng)銀行系統(tǒng)中復(fù)現(xiàn)了這個(gè)安全問(wèn)題。
詳細(xì)分析
我們來(lái)看看客戶端的登錄邏輯,似乎有一點(diǎn)奇怪的東西在里面:
仔細(xì)分析一下����,這是登錄時(shí)輸入圖形驗(yàn)證碼的功能����,開(kāi)發(fā)人員出于某種需要在這里預(yù)留了一個(gè)萬(wàn)能驗(yàn)證碼(被打了馬賽克的四個(gè)字符)����。正常的用戶登錄如驗(yàn)證碼輸入的不正確,系統(tǒng)會(huì)給出對(duì)應(yīng)的提示����。
如果我們使用預(yù)留的萬(wàn)能驗(yàn)證碼����,情況就不一樣了����。如下圖所示,系統(tǒng)并沒(méi)有提示登陸驗(yàn)證碼錯(cuò)誤,而是直接驗(yàn)證賬號(hào)密碼了����。
利用這個(gè)缺陷����,我們可以針對(duì)該商業(yè)銀行所在地的用戶進(jìn)行大規(guī)模賬號(hào)暴力破解攻擊����。一般來(lái)說(shuō),大部分用戶都習(xí)慣將移動(dòng)銀行密碼設(shè)置為六位數(shù)字����,而且查詢密碼和交易密碼也有很大的概率設(shè)置為相同的����。攻擊者可以查找該地區(qū)的手機(jī)號(hào)碼段范圍作為登錄用戶名,以六位數(shù)字組成的密碼字典進(jìn)行暴力破解����,幾十萬(wàn)移動(dòng)銀行帳戶信息唾手可得。
【案例二:調(diào)試接口未關(guān)閉導(dǎo)致用戶敏感信息泄露】
1、案例概述
H公司也是一家上市的科技公司����,其金融客戶遍布全國(guó)����,采用H公司移動(dòng)銀行方案的客戶包 括至少兩家全國(guó)性股份制商業(yè)銀行和多家城市商業(yè)銀行����。筆者在分析H公司的移動(dòng)銀行產(chǎn)品安全性時(shí)����,發(fā)現(xiàn)沒(méi)有關(guān)閉服務(wù)端的調(diào)試接口����,造成大量的用戶敏感信息泄露����。這種問(wèn)題其實(shí)也比較常見(jiàn)����,往往是外包開(kāi)發(fā)完成后上線過(guò)程的疏忽造成的����,實(shí)際上更常見(jiàn)的例子是Android客戶端通過(guò)logcat輸出調(diào)試信息的問(wèn)題����。
2����、詳細(xì)分析
移動(dòng)銀行作為電子銀行的渠道����,動(dòng)賬操作需要和銀行的核心系統(tǒng)交互����。H公司的開(kāi)發(fā)團(tuán)隊(duì)為了方便開(kāi)發(fā)和調(diào)試����,在手機(jī)銀行服務(wù)端代碼中開(kāi)放調(diào)試接口����。該調(diào)試接口會(huì)將用戶轉(zhuǎn)賬的詳細(xì)信息輸出到web目錄的test.log文件中����,如圖5所示����。攻擊者可以通過(guò)瀏覽器直接訪問(wèn)到這個(gè)log文件����,該系統(tǒng)的每一筆轉(zhuǎn)賬交易都記錄在其中����,從中可以獲取大量的用戶賬號(hào)����、手機(jī)號(hào)����、卡號(hào)和交易密碼等信息����。
這個(gè)案例是否讓你想起了攜程泄露用戶信用卡信息的安全事件?是的����,如出一轍����,只是在金融行業(yè)內(nèi)這種安全事件一般是很少被曝光的。
【案例三:開(kāi)發(fā)商被滲透導(dǎo)致代碼和客戶端簽名證書泄露】
1����、案例概述
國(guó)內(nèi)某漏洞平臺(tái)曾經(jīng)曝光過(guò)這樣一個(gè)漏洞:某大型國(guó)有銀行的移動(dòng)銀行ios客戶端中存在一個(gè)txt文件����,文件中存儲(chǔ)了一個(gè)svn服務(wù)器的ip地址、用戶名和密碼����,黑客解壓出該文件獲取信息后可以直接連上并checkout服務(wù)器上的文件����。
2����、詳細(xì)分析
這個(gè)漏洞直到被平臺(tái)公開(kāi)細(xì)節(jié)后的很長(zhǎng)一段時(shí)間內(nèi)都沒(méi)有徹底修復(fù)����。在被曝光后數(shù)月時(shí)間內(nèi),該svn服務(wù)器一直沒(méi)有修改泄露的帳戶密碼����,也沒(méi)有屏蔽互聯(lián)網(wǎng)的訪問(wèn)����。我們分析后發(fā)現(xiàn)這臺(tái)服務(wù)器是外包開(kāi)發(fā)商L公司的����。L公司號(hào)稱是專注于向銀行提供手機(jī)銀行全面解決方案和手機(jī)支付解決方案的高新技術(shù)企業(yè)����,客戶遍布全國(guó)����。
該svn服務(wù)器上存儲(chǔ)的內(nèi)容簡(jiǎn)直超乎想象����,包括該國(guó)有銀行移動(dòng)銀行系統(tǒng)的全部項(xiàng)目文檔����、完整的Android和IOS客戶端代碼����,甚至還存放了用于客戶端簽名的數(shù)字證書����。下圖是當(dāng)時(shí)被曝光的部分?jǐn)?shù)據(jù)的截圖����。利用這些數(shù)據(jù)信息,黑產(chǎn)從業(yè)者可以開(kāi)發(fā)一個(gè)擁有該銀行合法簽名的移動(dòng)銀行木馬,借助互聯(lián)網(wǎng)資源下載網(wǎng)站����、論壇甚至假基站等渠道傳播。
【結(jié)束語(yǔ):路漫漫其修遠(yuǎn)】
由于篇幅所限����,筆者陳述的三個(gè)例子只是從幾個(gè)側(cè)面揭示了外包開(kāi)發(fā)中存在的風(fēng)險(xiǎn)。在未來(lái)一段時(shí)間內(nèi),金融機(jī)構(gòu)應(yīng)該仍將會(huì)借助外包公司的力量快速建設(shè)和升級(jí)移動(dòng)金融業(yè)務(wù)平臺(tái)����。筆者也贊同業(yè)務(wù)優(yōu)先的原則,業(yè)務(wù)的停滯不前或倒退才是最大的安全風(fēng)險(xiǎn)����,不能因噎廢食����。
但是移動(dòng)金融畢竟涉及廣大用戶的個(gè)人隱私和資金安全����,我們建議金融機(jī)構(gòu)在外包開(kāi)發(fā)的過(guò)程中關(guān)注如下信息安全風(fēng)險(xiǎn):
1. 外包公司自身的安全管理水平較低����、安全運(yùn)維能力不足����,會(huì)造成文檔����、代碼甚至是簽名證書等重要信息資產(chǎn)的泄露;
2. 外包公司員工安全技能和安全意識(shí)不足����,開(kāi)發(fā)的代碼經(jīng)常會(huì)存在各種安全漏洞,常見(jiàn)的如服務(wù)端任意文件下載����、SQL注入����、客戶端組件暴漏和敏感信息泄露漏洞等;
3.外包開(kāi)發(fā)的管理流程不夠正規(guī),投產(chǎn)時(shí)未關(guān)閉服務(wù)端或者客戶端的調(diào)試接口����,被黑客利用會(huì)造成不可估量的損失;
4. 外包開(kāi)發(fā)人員故意留邏輯后門等。
針對(duì)以上的風(fēng)險(xiǎn)����,我們建議金融機(jī)構(gòu)強(qiáng)化如下的安全管理措施:
1. 選擇外包商時(shí)����,應(yīng)對(duì)其安全管理和安全運(yùn)維狀況進(jìn)行評(píng)估;
2. 規(guī)范外包開(kāi)發(fā)的管理流程,金融機(jī)構(gòu)的人員也要深度參與到開(kāi)發(fā)過(guò)程中進(jìn)行全過(guò)程的管控;
3. 加強(qiáng)對(duì)外包開(kāi)發(fā)人員的安全意識(shí)和技能培訓(xùn)����,將代碼漏洞率等作為項(xiàng)目結(jié)項(xiàng)考評(píng)的要素;
4. 對(duì)外包開(kāi)發(fā)的代碼進(jìn)行安全審計(jì)����,特別是登錄����、轉(zhuǎn)賬等重要業(yè)務(wù)場(chǎng)景需要重點(diǎn)審計(jì);
5. 建立針對(duì)移動(dòng)金融業(yè)務(wù)系統(tǒng)的安全測(cè)試機(jī)制,完善和細(xì)化安全測(cè)試方法����、測(cè)試用例,投產(chǎn)前進(jìn)行嚴(yán)格的安全測(cè)試,上線后進(jìn)行周期性測(cè)試;
6. 加強(qiáng)對(duì)異常交易的監(jiān)控和分析����。
最后打個(gè)小廣告,除了平時(shí)對(duì)互聯(lián)網(wǎng)金融安全的研究����,騰訊安全平臺(tái)部也招募互聯(lián)網(wǎng)金融安全方面的崗位����,歡迎有志從事互聯(lián)網(wǎng)金融安全的同學(xué)加入我們����。我們官方微博有發(fā)布相關(guān)信息����,相信你能找得到。
