钻APP漏洞窃取千万财产，移动金融如何安全前行？

近日，上海徐汇公安分局在上海市公安局刑侦、网安总队等相关单位的指导和全国多地公安机关的协助下，经过6个月的连续奋战，成功侦破特大网络窃取系列案。

事件源于2017年2月27日，某金融信息服务有限公司发现其旗下一款APP软件被多人利用黑客手段攻击，半天时间内即被非法提现人民币1056万元，遂向公安机关报案。公安机关第一时间开展侦查，争分夺秒开展APP平台服务器数据梳理，当日即分析出嫌疑人的作案手法并成功封堵漏洞，为公司和投资人避免了更大损失。



经查，缘由是一名嫌疑人利用APP平台漏洞，使用黑客手段篡改APP充值过程中的请求金额数据，导致平台入账金额异常，并迅速进行提现操作实施犯罪。作案得手后，该嫌疑人又通过互联网传授作案方法，致使该漏洞被大量传播利用。至案发，共有422个异常APP账户使用该方法进行恶意充值，其中269个提现成功。

海云安分析：

这是一件典型的针对金融支付APP应用系统漏洞，使用黑客手段进行破解篡改获取非法利益的案件，黑客通过对移动业务系统中的APP端及通讯链路进行劫持干扰，篡改通讯协议通道中的请求指令数据等，向服务器业务系统发送错误指令，达到了非法获利的目的，直接对该企业的移动金融业务的开展造成了重大影响。

其实，早在去年相关研究结构就在发布的《移动互联网金融APP信息安全现状白皮书》中指出，当前国内移动互联网金融类APP存在着十大安全隐患：

1. 通信数据明文发送

客户端APP与服务器端交互的数据通过明文的通信信道传输。

2. 通信数据可解密

客户端APP与服务器端交互的数据加密传输，但数据依然可以被解密。

3. 敏感数据本地可破解

客户端APP将敏感数据（如登录密码，手势密码等）以明文存储在本地，或加密存储但通过逆向分析程序可以破解该数据。

4. 调试信息泄漏

客户端APP将开发时帮助调试的信息打印出来，这些信息通常包含一些敏感的参数，消息的明文等。

5. 敏感信息泄漏

客户端APP代码中泄漏敏感数据，如对称加密密钥，非对称加密中的私钥，认证使用的共享密钥，不应被暴露的后台服务器管理地址等等。

6. 密码学误用

客户端APP代码中使用了不安全的密码学实现，例如固定硬编码的对称加密，ECB模式的对称加密，CBC模式中IV固定，不安全的公钥进行非对称加密等。

7. 功能泄露

客户端APP中高权限的行为和功能（如发送短信，读取联系人等）没有被安全的保护，被其他无授权的应用程序调用或访问。

8. 可二次打包

客户端APP可被修改代码后，重新打包发布在市场上供用户下载。

9. 可调试

客户端APP能够被调试，动态的提取、修改运行时的程序数据和逻辑。

10. 代码可逆向

客户端APP的逻辑能够被轻易获取和逆向，得到代码和程序中的敏感数据。

一旦不法分子利用此类金融APP中存在的诸多安全漏洞进行攻击，轻则窃取无辜民众的财产，重则扰乱金融市场秩序，甚至对国家和社会的安全稳定发展造成极大负面影响。

那么，到底应该如何解决这些安全隐患呢？互联网金融企业又如何来保护自身APP安全呢？针对这些问题，及时进行查漏补缺是关键，移动金融业务系统一般由智能硬件终端（目前一般指智能手机）、移动应用APP、相应业务处理服务器三部分组成，目前的移动金融业务系统中最容易遭受攻击威胁的就是移动APP客户端跟服务器两部分，其中移动应用APP普遍存在着大量可攻击漏洞，而后端服务器部分又往往是黑客针对移动业务的攻击重点。

针对以上严峻的安全问题，海云安推出了涵盖APP深度风险检测、应用加固及后端服务器安全防御于一体的移动应用安全服务体系，针对移动金融领域面临的安全问题带来了一套完整的解决方案——开发阶段通过安全检测可发现APP潜在的安全隐患，帮助互联网金融企业防范于未然；通过高强度的APP加固服务可以全方位防止APP客户端被破解篡改问题；通过智能移动应用防火墙产品，有效保护了后端通信数据安全，并针对攻击欺诈行为进行有效防御。 通过检测、加固、防御多方位于一体，从而实现了对移动金融业务的有效保护。目前凭借系列优质服务，海云安已经服务于微众银行、平安银行、招商证券广发基金、顺丰速运、红岭创投等诸多知名企业。