证券行业中的移动应用安全分析

来源: 云巴巴 2020-03-23 17:58:31

移动互联网的出现给各界带来了深远的影响,证券行业也带来了颠覆性的影响,目前,大多证券公司都开发了自己的移动应用,但是对于这种应用不能忽略的问题就是安全。

一、证券行业业务发展概述

随着技术的发展和移动终端的普及,证券移动业务自2012年以来迎来了快速发展。 证券移动应用基本涵盖信息,市场,开户,转账,财富管理等功能,成为证券企业与用户的重要接口..

目前,证券类移动应用面临着盗版软件,隐私泄露,用户密码被盗,修改数据等诸多风险,近些年,金融类移动技术应用被盗版、被破译、数据失窃的事件屡见不鲜。一旦中国移动互联网应用发展遭遇黑客攻击,将会给我国企业和用户可以带来直接的经济利益损失,移动终端的兴起也带来了新的挑战和零散的PC时代,包括手机安全性,兼容性等问题。在经历过几年的高速经济发展中国之后,证券类移动技术应用的功能在渐趋完善的同时也造成了企业同质化极其具有严重的问题。 面对这种现象,许多经纪人选择在技术上取得突破,以提高用户的使用粘度。

移动安全的必要性

随着网络技术和移动通信技术的普及,近年来中国移动互联网银行业务的快速发展,移动互联网已经吸引了人们的生活,人们的消费逐渐过渡到手机。各证券投资公司都相继推出了自有的移动技术应用提供服务,广大用户在享受便利的同时也处于移动网络安全的风险管理之中,对于证券行业加快互联网的核心业务和数字化转型的过程中的一个重要前提是网络安全防护,是指习近平总书记的讲话在网络与信息安全工作会议上,网络安全和信息技术有总体要求。安全是企业发展的前提,发展是安全的保障,安全和发展要同步进行推进, 要树立正确的网络安全观。加快构建关键信息基础设施安全保障体系,全方位感知网络安全态势,增强网络安全防御威慑能力..

证券行业移动应用安全风险分析

总体而言,Android平台应用程序的安全形势仍不容乐观,因为Android应用程序的安全问题频繁,影响范围广,程度深的,安卓应用的安全性和更重要;证券公司自行开发的移动应用程序,有没有专业的移动应用程序的安全支持,无法有效地保护移动应用的安全性。

近期,中国信通院发布了《移动互联网企业金融APP信息系统安全管理现状白皮书》,该白皮书抽取了88个互联网金融类移动技术应用App进行研究深入分析测试,发现了十大网络安全风险隐患。

通过明文服务器的通信信道的客户端数据终端的应用互动:1.在明文传输通信数据。

2. 通信系统数据可解密:客户端APP与服务器端交互的数据进行加密信息传输,但数据我们依然存在可以被解密。

3.敏感数据可本地破解:客户端APP存储敏感数据(如登录密码,手势密码等).. ,或加密,但可以通过反向分析程序破解数据。

4.调试信息泄露:APP将帮助客户打印出发展这个信息时,通常包含敏感的参数,如纯文本消息的调试信息。

5. 敏感个人信息系统泄漏:客户端APP代码中泄漏敏感分析数据,如对称进行加密密钥,非对称加密中的私钥。认证可以使用的共享密钥,不应被暴露的后台数据库服务器资源管理公司地址等等。

6.滥用密码学:APP客户代码中使用不安全的密码系统中实现,例如,硬编码的固定对称加密,对称加密ECB模式,CBC模式IV固定的,不安全的非对称加密公钥等待。

7. 功能信息泄露:客户端APP中高管理权限的行为和功能(如发送一个短信,读取相关联系人等)没有被安全的保护。被其他无授权的应用系统程序进行调用或访问。

8.可二次打包:客户端APP后可修改代码,重新打包发布在市场上供用户下载。

9.调试:调试客户机APP可以是动态的提取,程序数据,并修改运行时逻辑。

10. 代码可逆向:客户端APP的逻辑关系能够被轻易可以获取和逆向,得到实现代码和程序中的敏感信息数据。

在这十大安全隐患,调查通过动态调整,代码注入,反编译,内容篡改,二次包装这五是风险最高级别的发现,它是最经常提到的各种移动安全论坛。结合我国证券市场行业,这些企业风险也极有可能影响导致网络交易APP被植入恶意应用程序后再传播,导致用户的密码或其它相关信息被盗。或者黑客可以利用漏洞攻入券商的移动服务端,或者客户被钓鱼而钱款被恶意转账等风险。

移动互联网的出现给各界带来了深远的影响

移动应用安全加固技术分析

1 防源码反编译

针对移动应用安全加固的发展,经历了四个阶段:代码混淆(一代加密),整壳层(二代加密),代码分离和动态加载(三代加密),虚拟机保护(四代加密)..

1)代码混淆

其原理是通过基本上在代码去除调试信息代码混淆,无用类,方法和用于替换无意义的字符序列,所述方法名称和代码的类名流动的,以达到保护的目的混乱出来;它必须根据该方案降低了反编译代码,难度反向升级的可读性,但一直难以阻止动态调试,和饼干也可以通过从标线的类名称,方法名称的功能码读取,等等,然后反向突破,它是一代使用保护技术本身并不能取得实质性的保护与做的,但可以在IOS系统中使用。

2)整体加壳

整体加壳实现原理基本上是将dex文件整体加密,然后将密文打包保存其它目录下,修改AndroidManifest.xml配置文件将程序入口指向壳代码,程序启动后,由壳代码把加密后的dex交给类加载执行;由于程序在运行时,会将解密的代码连续释放在内存空间,所以不能有效的防范内存dump获取dex。

3)代码分离及动态加载

实现工作原理将代码中的方法名和方法体进行分析分离,对分离出的方法体进行信息加密并且Hook虚拟机的部分网络接口,在应用使用到企业具体研究方法时。对方法需要进行解密并动态加载执行;该方法是基于二代破解发展技术方面提出的,在一定程度上提高防范了内存的风险,但是由于部分破解者可以同时通过使用自定义手机等方式。获取我们所有方法的明文后对数据管理进行设计组装还原明文dex,虽然破解难度极大,但是仍存在一些理论上的可能性。

很多移应用都是第三应用开发,应用开发以业务为核心,同时为了保证应用的高可用性,需要通过严格的兼容性。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

评论列表

为你推荐

如何有效的缓解网络上的内部威胁

如何有效的缓解网络上的内部威胁

“内部威胁”是什么样子?它们是什么类型,它们的增长方式以及组织如何防御它们。我们还将查看一些最近的示例,以帮助我们更好地了解内部威胁如何发挥作用。 用最简单的术语来说,内部威胁是来自组织内部的安全风险。

2020-03-24 17:15:15

勒索病毒篇之——勒索病毒解决方案

勒索病毒篇之——勒索病毒解决方案

在等级保护合规方面,腾讯安全依托DDoS防护、云防火墙、主机安全等产品形成一站式等保合规综合方案,提供勒索病毒解决方案,为企业业务安全保驾护航。

2022-11-24 14:06:34

我们要如何做好内容安全网关呢?

我们要如何做好内容安全网关呢?

看到这篇文章的朋友们相信对安全网关都有一定的了解,其实。安全网关就是由一个路由器和一个处理机构成,这种专用的网关不象其它种类的网关一样,需要提供转换功能;特点是,两个部件结合在一起后,它们可以提供协议、链路和应用级保护。 因此不需要做协议转换,过滤是最重

2022-11-22 16:51:03

新一代的WAF都应具有哪些功能,企业上云要注意什么?

新一代的WAF都应具有哪些功能,企业上云要注意什么?

尽管许多 WAF 供应商声称提供下一代 WAF,但大多数供应商使用与传统 WAF 相同的安全模式,根本无法称为下一代。我们需要的是真正可以称得上下一代WAF。

2022-11-23 11:39:42

针对网络安全和物联网的关系解析

针对网络安全和物联网的关系解析

这两年,物联网这个词开始频频的出现在我们的眼前,无疑,物联网现在已经是一个热点了,那还不赶快和小编一起了解一下关于物联网的知识。 在嵌入式设计中实现安全功能似乎是一项艰巨的任务,专门提供安全功能的微控制器。 因此应运而生,它们能够在嵌入式设计之初实现安全

2022-11-21 17:20:38

网络安全系统更好的帮助企业实现信息化

网络安全系统更好的帮助企业实现信息化

企业信息化实现的第一步是,我们要把信息化规划中高速路修好了,需要进入信息化建设的第二阶段,这个阶段,我们要深入用户,他们用户做出让他们工作变简单的工具。 利用PDM技术提升车间无纸化能力 当制造业与PDM(制造发展过程进行数据文档管理控制系统)有机结合

2022-11-21 10:25:01

严选云产品

灵当CRM五金行业解决方案 灵当CRM五金行业解决方案“以物料为中心”的信息化平台建设流程,去解决物料描述不规范, 清单冗长,材料规格多, 销售人员整理起来难度大,以及客户所属行业五花八门,公司规模大小不一,做不到重要客户重点出击,涉及人员较多,追踪管理难度大,容易失去进度控制等问题、
智物联发电机组远程运维方案 智物联发电机组远程运维方案,通过适配器(数据采集器)与发电机组控制器相连,获取到控制器里面的数据后,通过流量卡、WIFI等方式上传至互联网平台,用户可在手机、电脑端实时查看设备运行状况、了解历史数据、故障信息及远程控制设备的一套系统。
融安云网人脸识别系统 人脸识别柜是快速响应市场需求的产品,此柜结合商汤高性能人脸识别算法,由我司提供硬件及应用软件支持,可实现无接触刷脸寄存,全程只需1-3秒即可操作完成,达到更便携,更全面,更高效,更安全。
新华三H3C S6813&S6812 系列数据中心以太网交换机 H3C S6813&S6812 系列交换机是 H3C 公司自主研发的数据中心级高密以太网交换机产品。S6813&S6812 系列交换机专为数据中心设计,支持丰富的数据中心特性,双电源,多风扇,前后或后前风道。
肯耐珂萨 麦朵智能学习平台 麦朵为企业客户提供“平台+内容+服务”一体化解决方案。 将肯耐珂萨在学习发展领域20多年的经验转化为极易上手的应用,同时以严选内容融合科技创新, 通过技术、内容与大数据结合,用科技驱动人才发展,助力企业成功。
华为云数据库 MySQL 云数据库(RDS for MySQL)是稳定可靠、可弹性伸缩的云数据库服务。通过云数据库能够让您几分钟内完成数据库部署。云端完全托管,让您专注于应用程序开发,无需为数据库运维烦恼

甄选10000+数字化产品 为您免费使用

申请试用