APP漏洞致银行损失2800万，从源头做好加固势在必行

“

据中新社报道，警方近日成功捣毁一个利用银行APP漏洞非法获利2800余万元的犯罪团伙，金融APP安全问题再度引发广泛关注：不法分子为何能够得手？类似问题是普遍存在的么？金融机构怎么做才能避免损失？

”

不法分子非法获利2800万，银行APP漏洞是幕后帮凶

中新社上海12月17日电记者17日从上海警方获悉，近日警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙，马某等6名犯罪嫌疑人被依法刑事拘留。该团伙利用银行APP（手机应用程序）安全漏洞，使用技术软件成倍放大定期存单金额，从中非法获利2800余万元。——以上摘自中国新闻网

而这并不是利用APP漏洞非法获利的首个案件。2017年9月，上海警方曾成功侦破一起特大网络盗窃系列案。事件的起因是某金融信息服务有限公司旗下一款APP软件存在漏洞，致使其被多人利用黑客手段攻击，半天时间内被非法提现1056万元。

显然，APP漏洞已经成为不法分子最大的“帮凶”。

很多银行APP都曾被曝存在漏洞，全面加固势在必行

不法分子之所以屡屡得手，是因为很多银行APP都曾被曝存在漏洞，虽然很多银行已经及时了修补了APP漏洞，但也有些仍然走在修补APP漏洞的路上。

2017年底，英国伯明翰大学的安全研究人员在2017计算机安全应用会议上宣称，他们通过测试数百款iOS与Android设备的不同银行应用程序后发现，多家知名银行的主要移动应用程序均存在一处关键漏洞，可导致数百万用户的银行凭证易遭黑客中间人（MitM）攻击，受影响的银行包括爱尔兰联合银行、Co-op、汇丰银行、NatWest和桑坦德银行等。

2016年，在首届“XPwn未来安全探索盛会”上，有参赛队伍通过对国内20家银行提供给消费者的基于安卓系统的20个手机银行APP进行攻击，发现17家银行的APP存在漏洞。消费者的手机一旦被黑，无论转账给“张三”还是“李四”，在输入正确账号与密码的情况下，钱最终都会转给“王五”。

无论是为了自身的安全，还是为了金融APP客户的安全，强烈建议各大金融机构对APP进行全面的加固。

关注两个风险，这是金融类APP安全的必要前提

360安全团队针对应用市场上数十款金融类APP进行了分析和检测，发现绝大多数APP都采取了必要的安全防护措施，但部分APP仍然存在安全隐患，主要表现在以下两个方面：

1、JavaScript动态下发核心代码风险

为了追求开发效率，通过webview动态加载JS的方式实现其应用核心功能。由于JavaScript逆向难度低，动态下发的JavaScript无法被应用自身的安全防护手段保护，导致应用核心功能的安全风险大大增高。加之对于下发的JavaScript没有进行任何混淆处理，导致明文下发。

此类问题最大的安全隐患在于黑客可通过分析

JavaScript业务代码，逆向解读应用的核心逻辑，有针对性的通过应用挖掘服务端漏洞，最终实现攻击金融机构核心资产的目的。

2、通信链路安全风险

通信上使用的https存在客户端忽略服务端证书和单向校验证书的漏洞，可导致黑客通过构造https sever进行中间人攻击，进而无任何压力的截取明文JavaScript业务代码以及服务端和客户端的业务通信信息。通过中间人伪造通信，黑客可以对业务通信进行劫持伪造，动态修改上下行信息，给金融APP客户和金融机构自身造成巨大的经济损失。

做好三项工作，确保金融类APP获得真正安全

基于对金融类APP安全事件的综合分析和自身在APP安全方面的经验积累，360企业安全建议金融机构从如下三个角度入手来确保APP安全：

1、应用漏洞检测

在应用上架之前，建议使用360的应用安全监测产品，通过技术手段发现应用安全漏洞，并进行修复。360企业级移动应用检测服务覆盖应用常见的组件漏洞和应用编码漏洞，可以全方位的对应用安全性给出专业测评，避免出现代码级漏洞。

在此次事件中，核心问题就是应用和业务逻辑漏洞利用。

2、通信协议加密

通过采用SSL和TLS安全的传输加密协议，阻止攻击者分析网络数据，并对https通信证书进行校验和锁定，有效屏蔽中间人攻击，保护通信中的协议安全。

3、危险环境检查

一般此类黑客攻击都会在有安全风险的终端环境上运行，比如Xposed、ROOT、模拟器、双开、可疑进程、Host篡改等等。

在此次事件中（根据媒体的相关报告），犯罪嫌疑人自5月份就开始利用漏洞犯案，11月份银行工作人员才发现并报案，中间过程长达数月。通过360提供的环境检测功能，可以实时监测Android移动设备上存在的恶意环境，识别异常设备集中存在的地理位置，并快速判定存在业务欺诈嫌疑的设备。

360企业安全为APP保驾护航

360移动安全整体解决方案可以为用户提供企业级移动应用安全加固服务和移动应用安全监测服务：