翻譯及整理:叡揚資訊 資訊安全事業處
資料來源:https://digital.ai/catalyst-blog/financial-mobile-app-vulnerability-faqs
2019年研究組織Aite Group調查了八個金融服務部門的行動App安全漏洞。所分析的 30 個App中,破解一個App的平均時間只需要 8.5 分鐘,由此可見在金融領域的App普遍容易發現資安漏洞。只要使用常見的軟體工具,幾乎所有的App都可以輕鬆地進行逆向工程,充分顯示出系統層面缺乏在App 層級上的保護和程式安全開發。
這些普遍存在的行動App相關漏洞,可能會導致重大的財務損失並導致企業聲譽、客戶忠誠度與股東信心受損,甚至遭受來自政府的巨額罰款。試問您目前的安全對策是否足夠?您可以採取哪些措施來提高行動App的安全性?
首先讓我們來檢視幾個銀行最常見的行動App漏洞。
銀行如何回應潛在的行動App漏洞?
如上所述,Aite Group 的研究發現行動消費金融App普遍存在安全漏洞,導致程式原始碼、個人身份資訊、帳戶憑證和對後端系統的存取暴露。當我們將這些漏洞傳達給相關金融機構時,會依據其企業角色的不同,而有不同的反應。領導階層人員經常表示不相信,「這是怎麼發生的?!」、「立即修正這個問題!」,而App開發人員則會持保守態度進行詢問「我應該將客戶身份驗證詳細資訊和加密密鑰放在哪裡?」之類的問題。
要記住最重要的一點是已經不存在具有安全邊界和網路邊緣化的日子了。我們現在生活在以軟體進行邊界定義的世界中,在許多情況下,App本身已成為新的端點。App每天都被下載到不受信任的行動裝置上,使用於行動銀行、社群媒體、購物、遊戲或與朋友聊天等任何事物中。這些App絕大多數在發佈之前都沒有受到保護,其中包含可能存在可利用的漏洞,可以達到資料意外洩漏或分享給其他App或裝置本身的目的。當App一旦進行發佈後,企業也無法得知App遭到攻擊者進行分析、逆向工程、攻擊或篡改的相關資訊。
以銀行的角度出發,應該投資哪些類型的訓練降低他們的脆弱性?
高階主管主要想知道的是「我們如何在第一時間防止這些違規的行為發生?」, 大多數企業在使用者安全訓練方面投入了大量資源卻忽略了組織中最關鍵的群體-程式碼開發人員。針對開發人員的訓練是十分昂貴的,而其中消費者意識訓練更是難如登天。 Aite 研究人員發現,許多大型銀行將其App開發進行外包,而且大多數銀行認為行動App是行銷團隊的一項任務,就像網站一樣。在某些情況下,App安全性在發佈到App商店前甚至沒有經過測試!因此程式碼安全開發的訓練極其重要,不應該以預算限縮作為忽視的藉口。
金融機構會在軟體正式上線之前對其進行程式碼掃描並尋找程式碼問題,這種方式有效嗎?
由Aite 研究人員所發現的漏洞,這個答案是否定的。App安全在傳統上的重點是確保應用程式碼通過質量和安全測試,同時使用者只能使用裝置進行身份驗證進行存取。傳統方法專注於打造安全生態系統,包括:網路應用防火牆等網路安全技術,以確保App程式碼安全和一定級別的網路安全。兩者都無法保護服務免於受到App逆向工程或API攻擊。
以上方法提供了App所需的傳統安全等級,並對於安全開發上的縱深防禦策略至關重要,但是這些方法缺乏對實際程式碼的防護或防止使用遭竊的API憑證。此外,為了使防護策略奏效,他們需要能夠主動將活動中的威脅通報組織,尤其是網路犯罪份子不斷改進他們的策略,開發更先進的金融App攻擊手段。
時至今日,資料已無處不在,不管是手機、AWS Cloud、S3 buckets、家庭工作站、平板電腦上,企業皆無法完全掌控它們。IT主管需要管控他們能控制的資料並建立安全層級、加密程式碼、建立API 安全gateway以保護流量、聘請滲透測試人員、進行動態程式碼分析。組織不會落入陷阱,因為他們已使用了某些安全產品,他們不必再擔心,這與事實相去甚遠。
資安長給我了一張空白支票,我應該如何利用它來完善保護我的App?
請記住,任何由人類創造的東西都可以被人類破壞。絕對安全的App並不存在。防火牆、App安全、滲透測試人員等解決方案可以提供一些幫助,但如果不法份子有足夠的決心滲透入App之內,他們便會進行攻擊,所以你需要換個角度思考:問題核心不在於App能不能被進行逆向工程,而是能多快發現攻擊的發生。
就像任何好的防守策略一樣,它必須深入運用。保護App程式碼也不例外,當前的最佳實作方法應包括以下內容:
- 使用各種混淆技術保護行動App程式碼,使逆向工程變得極其困難
- 加密和隱藏密鑰、API 位置和Token,保護它們不被發現和欺詐性後續攻擊
- 防禦逆向工程攻擊,使App在檢測到程式碼級攻擊時禁用功能
- 向企業發出警報並提供來自App的有關裝置狀態和正在進行的程式碼級攻擊的即時資料
上面列出的一關鍵功能是App級的威脅檢測,可以準確識別和通知App受到攻擊的方式和時間。如果App被下載到已被 root 或JB的裝置上則通知組織並繼續辨識出可疑行為。利用即時威脅資料,企業可以立即做出反應,例如:檢測到App遭篡改時關閉App、對客戶進行Sandbox處理、修改App邏輯並修復程式碼。
行動銀行App安全性提供了關鍵且具成本效益的業務服務,通常用於處理敏感的客戶資料,包括:個人資訊、銀行憑證和信用卡號,提供對後端系統的存取,也可能包含知識產權。如果App遭到破解,所有資料與系統存取權限將面臨暴露的風險,並可能導致品牌損害、財務損失、知識產權盜竊甚至遭受政府處罰。
不良行為者可以透過哪些不同方式進行App的逆向工程?
App層級攻擊都有一個共同的威脅向量。對被攻擊的App進行逆向工程和理解。一旦了解了App的操作、資料和密鑰,很可能會發生兩種常見的後續攻擊類型。
App重新打包/重新分發攻擊
- 在行動App中嵌入惡意軟體重新打包以進行憑證竊取
- 受感染的App被發佈到欺詐性App商店,接著以大量電子郵件活動,引誘客戶下載該App
- 下載後的客戶輸入其憑證,這些憑證會立即發送給網路犯罪分子,使他們能夠進行後續欺詐,通常是帳號接管
API 攻擊
- 徹底檢查App內容,特別是API Token / 密鑰、位置(上線版本和測試版本)以及密碼和客戶 ID 作為主要目標
- API 存取資訊被重新用於集中攻擊,為了取得對後台系統和資料的直接存取
- 傳統的網路安全通常會被忽略,因為流量看起來是合法的