披荆斩棘中前行的移动金融安全

找寻安全与用户体验跷跷板的平衡点，做适度的移动安全

    前言：当金融从PC走向移动时，我们需要考虑更多的安全问题。

    移动化在给人们的工作、生活带来许多便捷，而这其中也包括恶意攻击者，骇客们的攻击也因为移动化而更为“便利”，且更难被觉察。

    还记得那个猖獗一时的手机银行病毒“银行悍匪”么？据统计，当时感染人数超过50万，中招银行更是数不胜数。该病毒将自己二次打包到知名应用和游戏中，并通过技术手段防止被用户通过正规途径卸载，而且隐身后台操控用户手机信息、短信等，导致用户银行账户里的资金被骇客们轻松窃取。

    在移动金融快速发展的今天，安全问题却正在成为其飞奔前行道路上的拦路虎！

    金融行业用户对于PC时代的安全问题已经十分了解，并建立起了成熟的安全体系。可到了如今这个移动金融时代，一切却似乎变得与往不同了起来。

    繁华移动时代阴影里的安全危机

    移动时代很美好，行走之间就可以轻松搞定各类需要借助PC才能完成的操作：边走边工作、边走边游戏、边走边网购。

    可移动时代也很糟糕，针对移动终端的恶意威胁来势汹汹。

    2014年新增手机病毒达100.33万个，其中资费消耗类病毒占总数的53.9%，隐私窃取类病毒占总数的16.5%，而有超过70%的病毒下载来自于各类手机市场。另外需要注意，对移动金融有直接影响的手机支付类病毒主要通过电子市场、手机论坛、软件捆绑、ROM内置、二维码、手机资源站、网盘等传播。

    这里还有一些有趣的数据，在移动类地下黑色产业链的受害者里，75.1%的手机病毒受害者为男性，15-24岁人群占总感染比例34.2%，中毒手机最多的城市为北京，单身人群和感性外向人群病毒感染率最高。“北京15-24岁单身外向性格的男生”，这类用户分明就是移动金融的参与主体之一嘛。

    Android平台的流行性、开放性及市场乱象使其成为了恶意攻击者的首选，支付类病毒依然是Android系统病毒类型的主体，而只占2%的短信劫持类病毒则感染了近26%的用户。现在许多网上支付交易都需要通过短信进行二次认证，短信劫持类病毒如此广泛的感染面，正在从安全性上严重迟滞移动金融的发展。

    不要以为苹果的iOS操作系统就安全，2013-2014年Android系统漏洞的增长率徘徊在11%-13%之间，而iOS系统漏洞的增长率竟然达到了惊人的82%-84%。2012年到2014年分别发现112个、90个、109个iOS系统漏洞，而在2011年之前总共发现的iOS系统漏洞才有106个。据统计，目前已知的iOS系统漏洞主要为信息泄露、机制绕过、代码执行、拒绝服务、溢出、内存破坏等。

    看到了吗，移动的世界里真的很不安全。

    移动金融安全——海边的炫丽沙堡

    随着移动化浪潮的到来，金融行业用户也纷纷推出自己的移动化金融业务产品。例如移动在线支付业务、手机银行APP等等。不过这类业务大多是“看到别人家有了，我们也先上了再说”的模式，所以业务系统、应用自身的安全性大多没有被考虑进去。

    梆梆安全曾经对国内100家金融机构移动应用的安全性进行了统计，发现将近三分之一的移动金融应用拥有超过9个以上的安全漏洞。国内某大型应用开发商开发的手机银行更是被发现超过400个安全漏洞，其中137个为高危漏洞。越权访问、客户端敏感信息泄露、越权修改数据、应用功能设计缺陷、中间人攻击缺陷、登录设计缺陷、服务器端不安全配置等是金融类移动应用的主要安全问题，其中高等风险漏洞就超过了一半以上。

    金融行业的各类移动业务、移动应用大多界面华丽、使用便捷，不过由于安全环节的缺失，使得移动金融犹如建筑在海边的炫丽沙堆城堡，一个大浪扑来就会变得分崩离析。最注重安全问题的金融行业为何会犯如此明显的错误？实际上并非其不希望将自己的移动业务产品做得更加安全，而是由于金融机构本身对移动安全的不了解，使其不知道如何才能搭建起有效的移动金融安全架构。金融机构对于PC安全、企业网络安全都已经有了成熟的安全体系，但在移动安全方面却近乎于一片空白。

    揭秘移动恶意攻击路线图

    其实黑客发起攻击的流程基本都是“选定目标、找寻弱点、实施攻击”这个套路，只是具体到移动环境下，特别是针对金融移动应用的攻击过程具体为：首先选定安全防御脆弱的目标，然后对其进行反编译及逆向工程分析，确定攻击点、找到应用漏洞、确定攻击方式，然后开发相关攻击程序或是钓鱼程序，进而实施攻击。

    一旦黑客攻击得手，那么修改移动金融APP，插入广告就已经算是最轻微的恶意行为了。实际上，黑客在攻陷移动金融APP后，就能够截获用户的银行账号、密码、短信验证码等信息，并可藉此冒充用户身份，大摇大摆的将用户账户里的资金转移偷走。另外，通过遍历账号信息的方式，黑客还能够获取服务器里所有的账号信息，实现对服务器的拖库攻击。

    安全专家研究发现，国内某手机银行的WebView SDK XSS跨栈漏洞，能够导致手机被远程控制，进行拨打电话、发送短信、打开相机等功能。

    “银行悍匪”手机病毒就是通过伪装成热门手机游戏，诱导用户安装和启动恶意子包。然后其会伪装成系统程序，防止被卸载。扎稳脚跟后，就会卸载各类移动安全软件，劫持内容包含“帐号”、“财付通”、“验证码”等关键字的短信，释放高仿真钓鱼手机银行应用，对所有知名银行发起攻击，最终转走攻击目标账号资金，并抹掉客户端短信消除入侵痕迹。

    移动金融的安全之路

    鲁迅曾经说过：“世界上本没有路，走的人多了，就成了路。”移动化的特殊性，使得移动安全也需要摸着石头过河。说句比较糙的话“磕磕绊绊，吃的亏多了也就知道怎么去防护了”。无论是金融企业自身，还是安全厂商都在积极找寻移动恶意攻击的应对之法。

    互联网时代，金融安全最有效的办法就是借助于外置Token，可对于移动设备来说，这个办法显然不大适用。而基于SIM卡、SD卡、NFC的认证则会让移动金融业务流程变得复杂，大大降低用户体验。目前基于生物信息识别的方法也存在技术与体验方面的局限性，监管要求与用户诉求之间的矛盾更是让人头疼万分。同时我们要注意到，短信作为“双因子”校验，在未来很长时间内会被继续使用。

    小巧便携的各类移动设备，其在IT资源、能量资源方面都十分有限，这就需要运行于其上的各类业务系统、移动应用都需要更加注重用户体验问题。另外，移动互联网强调无接触式业务、快速迭代，而这些与传统金融行业的高安全性比较难以契合。所以金融机构在推出移动应用时，最为关键要解决的就是掌握好安全与用户体验之间的平衡，也就是要做到适度的安全。一方面要让用户使用移动金融应用时毫无违和感，一方面还要能够及时应对零日攻击与APT类攻击。

    多年专注于移动安全研究的梆梆安全专家们给出了很好的建议，要想做好移动金融安全需要遵从“人、系统、风险”这个思路。

    “人”一直都是网络安全里最难掌控的要素，所以如果能在移动互联网下提高“人”这一要素的安全性，将可以从根源上降低被恶意攻击的层面。那么可以考虑通过移动应用安全咨询来解决人的问题，比如面向SDLC(设计、研发、发布、运维)这一应用全生命周期提供安全咨询、针对移动应用进行安全渗透测试及安全审计、实施核心安全功能标准化等等。

    而要想解决系统本身的安全问题，可以选择对移动应用进行安全加固，用透明化的方式把安全做在业务的背后，面向SDLC(设计、研发、发布、运维)整体实施安全控制。

    最后借助移动应用安全风控来应对未来的安全问题。这涉及到通过大数据的方式实现对未知威胁的检测能力，抛弃预定义的“好坏”界定用数据反向推导安全检测能力。当不能做到100%阻止攻击发生时，还要能够做到在攻击发生后能够及时的进行阻截。

    移动金融安全实战之光大银行

    实践是检验真理的唯一标准。光大银行面对移动互联网的浪潮，也推出了一系列移动金融业务与产品。为了更好的保障光大银行用户的在线交易安全，并响应银监会的相应要求，光大银行通过与梆梆安全合作，对其“手机银行”、 “直销银行”、 “瑶瑶缴费”、 “光大信用卡”等手机APP都进行了安全加固，同时借助于梆梆安全的渠道监测，防止了山寨APP、钓鱼APP、二次打包APP等恶意应用对用户的侵袭，极大扩展了整体移动安全防护的外延范围。光大银行的移动金融APP从上线以来，业务可用性和易用性未受影响，取得了一定的安全防护效果。

    如今的安全真的是越来越难做，不仅要及时有效的应对各类已知、未知的恶意攻击威胁，还要不能影响用户体验。好在有梆梆安全这类的专业移动安全厂商，把专业的事情交给专业的人去做，永远都是最明智的选择。

    注释：文中部分数据来源于梆梆大数据中心。文章转载于《中国金融电脑》