移動金融业务外包开发中的安全风险.docxVIP

移动金融业务外包开发中的安全风险【前言：繁荣下的隐忧】随着移动互联网时代的到来，大力发展移动金融业务、不断提高对传统服务的替代率已经成为商业银行等传统金融机构的重要战略。传统金融机构自身在移动领域技术储备不足的情况下，为了快速占领业务制高点往往会选择将系统外包开发。以移动银行系统为例，开通相关业务的国有商业银行、全国性股份制商业银行和城市商业银行超过80%都是外包开发的。外包的引入推动了移动金融创新的步伐，快速打造了WAP手机银行、短信银行、APP手机银行、微信银行等系列产品，为用户提了丰富的移动金融服务。需要警惕的是，尚无互联网安全经验的商业银行还没有充分认识到：移动金融盛世之下也正在孕育着一个新的巨大的黑产市场。外包开发的移动金融应用在安全性方面存在巨大隐患：以笔者多年在安全企业的从业经验来看，外包的开发人员水平参差不齐，大部分外包开发人员在安全方面的技能和意识几乎可以忽略不计;外包商的信息安全管理水平也较差，甚至难以保障自身的安全性，更不要说交付的系统。过去几年，业内很多安全团队都已经着手开始移动金融特别是移动银行方面的安全研究。事实证明，我们看到的安全现状比想象中的更加糟糕。在今年业内的几个安全会议中，笔者也分享过一些漏洞案例和测试结果。现在笔者把一些外包管理中的典型安全问题整理成文，供业界参考。同时也希望起到抛砖引玉的作用，请业内的大牛们不吝赐教。【案例一：图形验证码逻辑后门可导致大量用户账号被窃取】案例概述Y公司是一个已经上市的信息科技公司，国内多家商业银行都是其客户。我们在分析Y公司的移动银行产品时，发现产品的图形验证码机制存在逻辑后门可以被绕过，利用这个缺陷可以窃取大量用户账号。由于外包团队的代码复用，我们已经在至少两家商业银行的移动银行系统中复现了这个安全问题。详细分析我们来看看客户端的登录逻辑，似乎有一点奇怪的东西在里面：仔细分析一下，这是登录时输入图形验证码的功能，开发人员出于某种需要在这里预留了一个万能验证码(被打了马赛克的四个字符)。正常的用户登录如验证码输入的不正确，系统会给出对应的提示。如果我们使用预留的万能验证码，情况就不一样了。如下图所示，系统并没有提示登陆验证码错误，而是直接验证账号密码了。利用这个缺陷，我们可以针对该商业银行所在地的用户进行大规模账号暴力破解攻击。一般来说，大部分用户都习惯将移动银行密码设置为六位数字，而且查询密码和交易密码也有很大的概率设置为相同的。攻击者可以查找该地区的手机号码段范围作为登录用户名，以六位数字组成的密码字典进行暴力破解，几十万移动银行帐户信息唾手可得。【案例二：调试接口未关闭导致用户敏感信息泄露】1、案例概述H公司也是一家上市的科技公司，其金融客户遍布全国，采用H公司移动银行方案的客户包 括至少两家全国性股份制商业银行和多家城市商业银行。笔者在分析H公司的移动银行产品安全性时，发现没有关闭服务端的调试接口，造成大量的用户敏感信息泄露。这种问题其实也比较常见，往往是外包开发完成后上线过程的疏忽造成的，实际上更常见的例子是Android客户端通过logcat输出调试信息的问题。2、详细分析移动银行作为电子银行的渠道，动账操作需要和银行的核心系统交互。H公司的开发团队为了方便开发和调试，在手机银行服务端代码中开放调试接口。该调试接口会将用户转账的详细信息输出到web目录的test.log文件中，如图5所示。攻击者可以通过浏览器直接访问到这个log文件，该系统的每一笔转账交易都记录在其中，从中可以获取大量的用户账号、手机号、卡号和交易密码等信息。这个案例是否让你想起了携程泄露用户信用卡信息的安全事件?是的，如出一辙，只是在金融行业内这种安全事件一般是很少被曝光的。【案例三：开发商被渗透导致代码和客户端签名证书泄露】1、案例概述国内某漏洞平台曾经曝光过这样一个漏洞：某大型国有银行的移动银行ios客户端中存在一个txt文件，文件中存储了一个svn服务器的ip地址、用户名和密码，黑客解压出该文件获取信息后可以直接连上并checkout服务器上的文件。2、详细分析这个漏洞直到被平台公开细节后的很长一段时间内都没有彻底修复。在被曝光后数月时间内，该svn服务器一直没有修改泄露的帐户密码，也没有屏蔽互联网的访问。我们分析后发现这台服务器是外包开发商L公司的。L公司号称是专注于向银行提供手机银行全面解决方案和手机支付解决方案的高新技术企业，客户遍布全国。该svn服务器上存储的内容简直超乎想象，包括该国有银行移动银行系统的全部项目文档、完整的Android和IOS客户端代码，甚至还存放了用于客户端签名的数字证书。下图是当时被曝光的部分数据的截图。利用这些数据信息，黑产从业者可以开发一个拥有该银行合法签名的移动银行木马，借助互联网资源下载网站、论坛甚至假基站等渠道传播。【结束语：