金融APP安全分析_汪德嘉（PDF31页）

金融APP安全分析演讲嘉宾：汪德嘉博士建设金融APP安全体系0102移动金融发展面临的新挑战目录美丽的天空，我的梦恼人的秋风：山寨风正品山寨山寨APP：工行手机银行山寨APP：支付宝钱包山寨APP：银联钱包山寨APP：大众点评移动金融典型病毒病毒名称入口描述银行悍匪二次打包随意读取淘宝及20余家银行手机客户端和账号信息，可随时窃取用户通讯记录和控制用户手机支付鬼手二次打包伪装成淘宝客户端，木马会将用户输入的淘宝账号、密码以及支付密码等，通过短信通知黑客暗黑拦截马应用加固拦截用户收到的短信，并窃取用户的短信内容、手机号、IMSI号等信息发送给远程服务器支付宝大盗应用加固恶意代码+社会工程学配合攻击实现窃取支付宝资金的目的隐身大盗二次打包拦截和窃取交易短信劫银刺客二次打包自动发送信息到指定帐号，信息立即被窃取，远程控制手机键盘黑手逆向工程感染输入法软件SwiftKeyKeyBoard，记录用户输入账号、密码WiFi蹭网助手免费WIFI用户连接黑客提供免费WIFI，窃取账号、密码盗取账户资金抽奖诈骗二维码用户扫描二维码启动浏览器或下载恶意程序二维码支付安全问题二维码支付安全的问题：•二维码生成安全•安全的扫码解析问题•信息传输通道安全问题二维码主扫模式的安全问题二维码生成攻击：扫码攻击：二维码被扫模式的安全挑战1分钟刷新主动刷新店铺2店铺1数字签名滥用同一个数字证书签名23家银行手机银行客户端使用金融APP安全现状不容乐观•针对移动支付进行深层分析，形成全面的移动支付行业研究报告。•包含近场支付、远程支付类型，覆盖主流移动支付方案•超过100家手机银行、第三方支付客户端安全测评，均发现安全隐患•包含4大类、60多项风险弱点，9类典型威胁网络中间人攻击1组件劫持攻击2调试敏感信息泄漏4组件能力滥用3服务器注入攻击5客户端注入攻击6网络传输信息泄漏7外部存储信息泄漏8内部存储信息泄漏9金融APP-端、管、云受到全面安全威胁端管云金融ＡＰＰ的挑战还有哪些漏洞和隐患…APP被二次打包，植入木马？APP出现盗版，如何监控？二维码藏毒？如何安全扫码？APP与服务器通信被劫持？促销活动被恶意刷奖？免登状态下如何控制权限？如何与硬件终端绑定？谁能提供专业的一揽子安全解决方案，让我彻底无忧有木有？？目录建设金融APP安全体系0102移动金融发展面临的新挑战移动应用安全检测基准发布通付盾信息安全产品图通付盾移动金融APP安全体系战法一：反逆向战法二：反篡改战法三：反欺诈应用安全三战法：反逆向、反篡改、反欺诈原版应用逆向分析源码恶意代码注入吸费、广告窃取账号等反逆向反篡改反欺诈移动应用攻击安全评估业务安全数据传输安全安全增强测试合规安全渠道监测数据存储安全源代码安全安全评估密码保护机制②③密码策略测试（找回密码等）登录次数限制④会话保护策略重要函数逻辑安全①②③④⑥⑤加密算法是否混淆是否允许动态调试Activity的exported属性设置是否存在硬编码是否保存手机号、密码等敏感信息①②③④⑤敏感信息是否加密处理加密是否易破解数据是否能被别的应用访问调试信息是否泄漏关键信息关键数据是否加密传输①②③是否可进行中间人攻击是否进行数据合法性验证（客户端+服务器）行业合规是否进行签名验证①②③键盘劫持测试进程保护测试④组件安全测试⑤服务器安全测试(Web渗透)①反逆向：安全加固Dex文件保护1资源文件保护2XML文件保护3SO保护4内存保护5自定义类保护6定制API保护7安全加固以加密、加壳、RPC、动态加载等技术对移动金融客户端进行全面的安全加固。通付盾提供企业加固和金融加固两种方案，保护应用程序逻辑安全和代码安全通付盾安全加固-拓展安卓内核安全边界可执行文件分片加载至内存，运行时重新组合，防止黑客转储内存映像对于文件内存操作取代传统的磁盘操作，防止针对临时文件攻击，安全性更高密钥存储碎片化加密加壳的密钥用于脱壳操作，碎片化存储使得黑客攻击算法难度大大提高文件操作内存化程序执行动态化定制ROM优化针对安卓系统碎片化现状，众多深度定制ROM面临安全性、兼容性威胁，通付盾优化定制ROM的安全机制，有效提升方案的安全性和兼容性渠道监测500+应用发布渠道覆盖国内外包括应用市场、下载站、论坛等在内的500多个下载渠道，一站式监控渠道信息7×24小时监控通过强大的监测系统实时监控，及时发现被破解和盗版应用，并将相关信息反馈到用户后台。多维度数据分析从发布渠道、应用版本、下载量、盗版率等多个维度进行数据分析，提供精准的分析数据。反篡改：动态签名--主动感知在应用执行过程中，采用动态、加密方式校验移动金融应用的文件完整性，服务端及时察觉“二次打包”，防范恶意应用基本原理1、服务端主动感知应用状态，及时发现二次打包版本2、校验内容、校验规则动态下发，防止重放攻击3、只有指定设备才能解密，防止远程伪造校验数据安全特性手机银行APP动态签名SDK手机银行后台签名校验服务校验规则应用状态安全校验校验结果您当前版本已被加入吸费代码，请在官网下载正版应用二次打包移动应用中常见的敏感行为•隐私操作读取联系人、收发短信、窃取照片等；•网络操作•设备操作•调用操作•特权操作读取浏览器书签、历史记录；获取网络定位等；启动GPS定位，拨打电话、使用摄像头、录音等；动态加载恶意地址、调用第三方库文件等；获取超级ROOT权限异常检测实时监测敏感行为风险预警阻止威胁一站式安全服务全网监控超过500+发布渠道，跟踪发布状态，防范钓鱼应用、假冒应用全网检测发现“钓鱼应用”及时反馈应用市场，下架非法应用，减少带来的声誉影响应用下架针对移动金融应用后台安全扫描，防范黑客动态注入，降低服务端安全威胁服务扫描应用扫描基于符号执行的应用安全扫描，上传二进制包后执行覆盖应用全路径，查找应用漏洞美丽的天空，我的梦谢谢！