移動(dòng)金融業(yè)務(wù)外包開(kāi)發(fā)中的安全風(fēng)險(xiǎn)【前言：繁榮下的隱憂】隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，大力發(fā)展移動(dòng)金融業(yè)務(wù)、不斷提高對(duì)傳統(tǒng)服務(wù)的替代率已經(jīng)成為商業(yè)銀行等傳統(tǒng)金融機(jī)構(gòu)的重要戰(zhàn)略。傳統(tǒng)金融機(jī)構(gòu)自身在移動(dòng)領(lǐng)域技術(shù)儲(chǔ)備不足的情況下，為了快速占領(lǐng)業(yè)務(wù)制高點(diǎn)往往會(huì)選擇將系統(tǒng)外包開(kāi)發(fā)。以移動(dòng)銀行系統(tǒng)為例，開(kāi)通相關(guān)業(yè)務(wù)的國(guó)有商業(yè)銀行、全國(guó)性股份制商業(yè)銀行和城市商業(yè)銀行超過(guò)80%都是外包開(kāi)發(fā)的。外包的引入推動(dòng)了移動(dòng)金融創(chuàng)新的步伐，快速打造了WAP手機(jī)銀行、短信銀行、APP手機(jī)銀行、微信銀行等系列產(chǎn)品，為用戶提了豐富的移動(dòng)金融服務(wù)。需要警惕的是，尚無(wú)互聯(lián)網(wǎng)安全經(jīng)驗(yàn)的商業(yè)銀行還沒(méi)有充分認(rèn)識(shí)到：移動(dòng)金融盛世之下也正在孕育著一個(gè)新的巨大的黑產(chǎn)市場(chǎng)。外包開(kāi)發(fā)的移動(dòng)金融應(yīng)用在安全性方面存在巨大隱患：以筆者多年在安全企業(yè)的從業(yè)經(jīng)驗(yàn)來(lái)看，外包的開(kāi)發(fā)人員水平參差不齊，大部分外包開(kāi)發(fā)人員在安全方面的技能和意識(shí)幾乎可以忽略不計(jì);外包商的信息安全管理水平也較差，甚至難以保障自身的安全性，更不要說(shuō)交付的系統(tǒng)。過(guò)去幾年，業(yè)內(nèi)很多安全團(tuán)隊(duì)都已經(jīng)著手開(kāi)始移動(dòng)金融特別是移動(dòng)銀行方面的安全研究。事實(shí)證明，我們看到的安全現(xiàn)狀比想象中的更加糟糕。在今年業(yè)內(nèi)的幾個(gè)安全會(huì)議中，筆者也分享過(guò)一些漏洞案例和測(cè)試結(jié)果。現(xiàn)在筆者把一些外包管理中的典型安全問(wèn)題整理成文，供業(yè)界參考。同時(shí)也希望起到拋磚引玉的作用，請(qǐng)業(yè)內(nèi)的大牛們不吝賜教?！景咐唬簣D形驗(yàn)證碼邏輯后門(mén)可導(dǎo)致大量用戶賬號(hào)被竊取】案例概述Y公司是一個(gè)已經(jīng)上市的信息科技公司，國(guó)內(nèi)多家商業(yè)銀行都是其客戶。我們?cè)诜治鯵公司的移動(dòng)銀行產(chǎn)品時(shí)，發(fā)現(xiàn)產(chǎn)品的圖形驗(yàn)證碼機(jī)制存在邏輯后門(mén)可以被繞過(guò)，利用這個(gè)缺陷可以竊取大量用戶賬號(hào)。由于外包團(tuán)隊(duì)的代碼復(fù)用，我們已經(jīng)在至少兩家商業(yè)銀行的移動(dòng)銀行系統(tǒng)中復(fù)現(xiàn)了這個(gè)安全問(wèn)題。詳細(xì)分析我們來(lái)看看客戶端的登錄邏輯，似乎有一點(diǎn)奇怪的東西在里面：仔細(xì)分析一下，這是登錄時(shí)輸入圖形驗(yàn)證碼的功能，開(kāi)發(fā)人員出于某種需要在這里預(yù)留了一個(gè)萬(wàn)能驗(yàn)證碼(被打了馬賽克的四個(gè)字符)。正常的用戶登錄如驗(yàn)證碼輸入的不正確，系統(tǒng)會(huì)給出對(duì)應(yīng)的提示。如果我們使用預(yù)留的萬(wàn)能驗(yàn)證碼，情況就不一樣了。如下圖所示，系統(tǒng)并沒(méi)有提示登陸驗(yàn)證碼錯(cuò)誤，而是直接驗(yàn)證賬號(hào)密碼了。利用這個(gè)缺陷，我們可以針對(duì)該商業(yè)銀行所在地的用戶進(jìn)行大規(guī)模賬號(hào)暴力破解攻擊。一般來(lái)說(shuō)，大部分用戶都習(xí)慣將移動(dòng)銀行密碼設(shè)置為六位數(shù)字，而且查詢(xún)密碼和交易密碼也有很大的概率設(shè)置為相同的。攻擊者可以查找該地區(qū)的手機(jī)號(hào)碼段范圍作為登錄用戶名，以六位數(shù)字組成的密碼字典進(jìn)行暴力破解，幾十萬(wàn)移動(dòng)銀行帳戶信息唾手可得?！景咐赫{(diào)試接口未關(guān)閉導(dǎo)致用戶敏感信息泄露】1、案例概述H公司也是一家上市的科技公司，其金融客戶遍布全國(guó)，采用H公司移動(dòng)銀行方案的客戶包括至少兩家全國(guó)性股份制商業(yè)銀行和多家城市商業(yè)銀行。筆者在分析H公司的移動(dòng)銀行產(chǎn)品安全性時(shí)，發(fā)現(xiàn)沒(méi)有關(guān)閉服務(wù)端的調(diào)試接口，造成大量的用戶敏感信息泄露。這種問(wèn)題其實(shí)也比較常見(jiàn)，往往是外包開(kāi)發(fā)完成后上線過(guò)程的疏忽造成的，實(shí)際上更常見(jiàn)的例子是Android客戶端通過(guò)logcat輸出調(diào)試信息的問(wèn)題。2、詳細(xì)分析移動(dòng)銀行作為電子銀行的渠道，動(dòng)賬操作需要和銀行的核心系統(tǒng)交互。H公司的開(kāi)發(fā)團(tuán)隊(duì)為了方便開(kāi)發(fā)和調(diào)試，在手機(jī)銀行服務(wù)端代碼中開(kāi)放調(diào)試接口。該調(diào)試接口會(huì)將用戶轉(zhuǎn)賬的詳細(xì)信息輸出到web目錄的test.log文件中，如圖5所示。攻擊者可以通過(guò)瀏覽器直接訪問(wèn)到這個(gè)log文件，該系統(tǒng)的每一筆轉(zhuǎn)賬交易都記錄在其中，從中可以獲取大量的用戶賬號(hào)、手機(jī)號(hào)、卡號(hào)和交易密碼等信息。這個(gè)案例是否讓你想起了攜程泄露用戶信用卡信息的安全事件?是的，如出一轍，只是在金融行業(yè)內(nèi)這種安全事件一般是很少被曝光的?！景咐洪_(kāi)發(fā)商被滲透導(dǎo)致代碼和客戶端簽名證書(shū)泄露】1、案例概述國(guó)內(nèi)某漏洞平臺(tái)曾經(jīng)曝光過(guò)這樣一個(gè)漏洞：某大型國(guó)有銀行的移動(dòng)銀行ios客戶端中存在一個(gè)txt文件，文件中存儲(chǔ)了一個(gè)svn服務(wù)器的ip地址、用戶名和密碼，黑客解壓出該文件獲取信息后可以直接連上并checkout服務(wù)器上的文件。2、詳細(xì)分析這個(gè)漏洞直到被平臺(tái)公開(kāi)細(xì)節(jié)后的很長(zhǎng)一段時(shí)間內(nèi)都沒(méi)有徹底修復(fù)。在被曝光后數(shù)月時(shí)間內(nèi)，該svn服務(wù)器一直沒(méi)有修改泄露的帳戶密碼，也沒(méi)有屏蔽互聯(lián)網(wǎng)的訪問(wèn)。我們分析后發(fā)現(xiàn)這臺(tái)服務(wù)器是外包開(kāi)發(fā)商L公司的。L公司號(hào)稱(chēng)是專(zhuān)注于向銀行提供手機(jī)銀行全面解決方案和手機(jī)支付解決方案的高新技術(shù)企業(yè)，客戶遍布全國(guó)。該svn服務(wù)器上存儲(chǔ)的內(nèi)容簡(jiǎn)直超乎想象，包括該國(guó)有銀行移動(dòng)銀行系統(tǒng)的全部項(xiàng)目文檔、完整的Android和IOS客戶端代碼，甚至還存放了用于客戶端簽名的數(shù)字證書(shū)。下圖是當(dāng)時(shí)被曝光的部分?jǐn)?shù)據(jù)的截圖。利用這些數(shù)據(jù)信息，黑產(chǎn)從業(yè)者可以開(kāi)發(fā)一個(gè)擁有該銀行合法簽名的移動(dòng)銀行木馬，借助互聯(lián)網(wǎng)資源下載網(wǎng)站、論壇甚至假基站等渠道傳播?！窘Y(jié)束語(yǔ)：路漫漫其修遠(yuǎn)】由于篇幅所限，筆者陳述的三個(gè)例子只是從幾個(gè)側(cè)面揭示了外包開(kāi)發(fā)中存在的風(fēng)險(xiǎn)。在未來(lái)一段時(shí)間內(nèi)，金融機(jī)構(gòu)應(yīng)該仍將會(huì)借助外包公司的力量快速建設(shè)和升級(jí)移動(dòng)金融業(yè)務(wù)平臺(tái)。筆者也贊同業(yè)務(wù)優(yōu)先的原則，業(yè)務(wù)的停滯不前或倒退才是最大的安全風(fēng)險(xiǎn)，不能因噎廢食。但是移動(dòng)金融畢竟涉及廣大用戶的個(gè)人隱私和資金安全，我們建議金融機(jī)構(gòu)在外包開(kāi)發(fā)的過(guò)程中關(guān)注如下信息安全風(fēng)險(xiǎn)：1.外包公司自身的安全管理水平較低、安全運(yùn)維能力不足，會(huì)造成文檔、代碼甚至是簽名證書(shū)等重要信息資產(chǎn)的泄露;2.外包公司員工安全技能和安全意識(shí)不足，開(kāi)發(fā)的代碼經(jīng)常會(huì)存在各種安全漏洞，常見(jiàn)的如服務(wù)端任意文件下載、SQL注入、客戶端組件暴漏和敏感信息泄露漏洞等;3.外包開(kāi)發(fā)的管理流程不夠正規(guī)，投產(chǎn)時(shí)未關(guān)閉服務(wù)端或者客戶端的調(diào)試接口，被黑客利用會(huì)造成不可估量的損失;4.外包開(kāi)發(fā)人員故意留邏輯后門(mén)等。針對(duì)以上的風(fēng)險(xiǎn)，我們建議金融機(jī)構(gòu)強(qiáng)化如下的安全管理措施：1.選擇外包商時(shí)，應(yīng)對(duì)其安全管理和安全運(yùn)維狀況進(jìn)行評(píng)估;2.規(guī)范外包開(kāi)發(fā)的管理流程，金融機(jī)構(gòu)的人員也要深度參與到開(kāi)發(fā)過(guò)程中進(jìn)行全過(guò)程的管控;3.加強(qiáng)對(duì)外包開(kāi)發(fā)人員的安全意識(shí)和技能培訓(xùn)，將代碼漏洞率等作為項(xiàng)目結(jié)項(xiàng)考評(píng)的要素;4.對(duì)外包開(kāi)發(fā)的代碼進(jìn)行安全審計(jì)，特別是登錄、轉(zhuǎn)賬等重要業(yè)務(wù)場(chǎng)景需要重點(diǎn)審計(jì);5.建立針對(duì)移動(dòng)金融業(yè)務(wù)系統(tǒng)的安全測(cè)試機(jī)制，完善和細(xì)化安全測(cè)試方法、