证券行业中的移动应用安全分析

来源: 云巴巴 2020-03-23 17:58:31

移动互联网的出现给各界带来了深远的影响,证券行业也带来了颠覆性的影响,目前,大多证券公司都开发了自己的移动应用,但是对于这种应用不能忽略的问题就是安全。

一、证券行业业务发展概述

随着技术的发展和移动终端的普及,证券移动业务自2012年以来迎来了快速发展。 证券移动应用基本涵盖信息,市场,开户,转账,财富管理等功能,成为证券企业与用户的重要接口..

目前,证券类移动应用面临着盗版软件,隐私泄露,用户密码被盗,修改数据等诸多风险,近些年,金融类移动技术应用被盗版、被破译、数据失窃的事件屡见不鲜。一旦中国移动互联网应用发展遭遇黑客攻击,将会给我国企业和用户可以带来直接的经济利益损失,移动终端的兴起也带来了新的挑战和零散的PC时代,包括手机安全性,兼容性等问题。在经历过几年的高速经济发展中国之后,证券类移动技术应用的功能在渐趋完善的同时也造成了企业同质化极其具有严重的问题。 面对这种现象,许多经纪人选择在技术上取得突破,以提高用户的使用粘度。

移动安全的必要性

随着网络技术和移动通信技术的普及,近年来中国移动互联网银行业务的快速发展,移动互联网已经吸引了人们的生活,人们的消费逐渐过渡到手机。各证券投资公司都相继推出了自有的移动技术应用提供服务,广大用户在享受便利的同时也处于移动网络安全的风险管理之中,对于证券行业加快互联网的核心业务和数字化转型的过程中的一个重要前提是网络安全防护,是指习近平总书记的讲话在网络与信息安全工作会议上,网络安全和信息技术有总体要求。安全是企业发展的前提,发展是安全的保障,安全和发展要同步进行推进, 要树立正确的网络安全观。加快构建关键信息基础设施安全保障体系,全方位感知网络安全态势,增强网络安全防御威慑能力..

证券行业移动应用安全风险分析

总体而言,Android平台应用程序的安全形势仍不容乐观,因为Android应用程序的安全问题频繁,影响范围广,程度深的,安卓应用的安全性和更重要;证券公司自行开发的移动应用程序,有没有专业的移动应用程序的安全支持,无法有效地保护移动应用的安全性。

近期,中国信通院发布了《移动互联网企业金融APP信息系统安全管理现状白皮书》,该白皮书抽取了88个互联网金融类移动技术应用App进行研究深入分析测试,发现了十大网络安全风险隐患。

通过明文服务器的通信信道的客户端数据终端的应用互动:1.在明文传输通信数据。

2. 通信系统数据可解密:客户端APP与服务器端交互的数据进行加密信息传输,但数据我们依然存在可以被解密。

3.敏感数据可本地破解:客户端APP存储敏感数据(如登录密码,手势密码等).. ,或加密,但可以通过反向分析程序破解数据。

4.调试信息泄露:APP将帮助客户打印出发展这个信息时,通常包含敏感的参数,如纯文本消息的调试信息。

5. 敏感个人信息系统泄漏:客户端APP代码中泄漏敏感分析数据,如对称进行加密密钥,非对称加密中的私钥。认证可以使用的共享密钥,不应被暴露的后台数据库服务器资源管理公司地址等等。

6.滥用密码学:APP客户代码中使用不安全的密码系统中实现,例如,硬编码的固定对称加密,对称加密ECB模式,CBC模式IV固定的,不安全的非对称加密公钥等待。

7. 功能信息泄露:客户端APP中高管理权限的行为和功能(如发送一个短信,读取相关联系人等)没有被安全的保护。被其他无授权的应用系统程序进行调用或访问。

8.可二次打包:客户端APP后可修改代码,重新打包发布在市场上供用户下载。

9.调试:调试客户机APP可以是动态的提取,程序数据,并修改运行时逻辑。

10. 代码可逆向:客户端APP的逻辑关系能够被轻易可以获取和逆向,得到实现代码和程序中的敏感信息数据。

在这十大安全隐患,调查通过动态调整,代码注入,反编译,内容篡改,二次包装这五是风险最高级别的发现,它是最经常提到的各种移动安全论坛。结合我国证券市场行业,这些企业风险也极有可能影响导致网络交易APP被植入恶意应用程序后再传播,导致用户的密码或其它相关信息被盗。或者黑客可以利用漏洞攻入券商的移动服务端,或者客户被钓鱼而钱款被恶意转账等风险。

移动互联网的出现给各界带来了深远的影响

移动应用安全加固技术分析

1 防源码反编译

针对移动应用安全加固的发展,经历了四个阶段:代码混淆(一代加密),整壳层(二代加密),代码分离和动态加载(三代加密),虚拟机保护(四代加密)..

1)代码混淆

其原理是通过基本上在代码去除调试信息代码混淆,无用类,方法和用于替换无意义的字符序列,所述方法名称和代码的类名流动的,以达到保护的目的混乱出来;它必须根据该方案降低了反编译代码,难度反向升级的可读性,但一直难以阻止动态调试,和饼干也可以通过从标线的类名称,方法名称的功能码读取,等等,然后反向突破,它是一代使用保护技术本身并不能取得实质性的保护与做的,但可以在IOS系统中使用。

2)整体加壳

整体加壳实现原理基本上是将dex文件整体加密,然后将密文打包保存其它目录下,修改AndroidManifest.xml配置文件将程序入口指向壳代码,程序启动后,由壳代码把加密后的dex交给类加载执行;由于程序在运行时,会将解密的代码连续释放在内存空间,所以不能有效的防范内存dump获取dex。

3)代码分离及动态加载

实现工作原理将代码中的方法名和方法体进行分析分离,对分离出的方法体进行信息加密并且Hook虚拟机的部分网络接口,在应用使用到企业具体研究方法时。对方法需要进行解密并动态加载执行;该方法是基于二代破解发展技术方面提出的,在一定程度上提高防范了内存的风险,但是由于部分破解者可以同时通过使用自定义手机等方式。获取我们所有方法的明文后对数据管理进行设计组装还原明文dex,虽然破解难度极大,但是仍存在一些理论上的可能性。

很多移应用都是第三应用开发,应用开发以业务为核心,同时为了保证应用的高可用性,需要通过严格的兼容性。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

评论列表

为你推荐

盘点近些年企业面临的网络安全问题和解决对策

盘点近些年企业面临的网络安全问题和解决对策

虽然在近几年网络安全分发展非常健全但是网络安全的威胁仍然无处不在,从腾讯安全2019至2020年的企业安全威胁报告就可以看出很多目前亟待解决的网络安全问题。

2022-11-23 14:49:50

5G时代的网络安全问题分析

5G时代的网络安全问题分析

我们从3G到4G如今5G即将到来,5G的诞生有了新的标准和技术,5G时代的到来网络安全问题提出了新的考验。

2020-03-13 15:49:06

新的网络形势下如何提升网络安全管理及防护水平

新的网络形势下如何提升网络安全管理及防护水平

施网络安全等级保护意义重大,在信息化建设过程中不仅有利于同步建设网络安全设施,保障网络安全与信息化建设协调发展。而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了网络安全建设成本

2020-03-11 18:02:42

盘点网络安全重大事件以及2021年解决之道

盘点网络安全重大事件以及2021年解决之道

大家都越来越重视网络安全,安全性也是企业采购SaaS软件或建设软件项目重点考虑的基本属性,甚至于国家也由等保2.0开始像等保3.0转变。

2022-11-23 10:37:54

安全微控制器物让联网安全有保障

安全微控制器物让联网安全有保障

到2019年,全球物联网上有数十亿美元的互联网连接,这个数字只会增加。它们中的大多数包含微控制器,每个都代表了恶意软件插入的开始。

2019-09-18 16:22:53

智能门锁的安全性到底是如何的?

智能门锁的安全性到底是如何的?

我们都知道,安全一直是智能门锁的核心中的核心。智能门锁的产业发展始终是与“防盗”做斗争的,并兼具便捷性,但是,技术的进步往往伴随着新的安全风险! 这里再简单说明一下,主要区别在于智能门锁具备普通机械锁不具备的智能模块上。包括,指纹识别模块、蓝牙等通讯模块

2022-11-21 14:00:19

严选云产品

薪人薪事招聘管理系统 薪人薪事企业招聘管理系统一站式解决企业招聘管理问题,专业且高翔的企业招聘管理软件帮助企业优化招聘流程的每一步,缩短招聘周期,降低招聘成本,提升候选人体验。
百度智慧工地劳务实名与视频智能分析解决方案 百度智慧工地劳务实名与视频智能分析解决方案,作业场所多样,布线施工难。7*24作业,要求日夜实施监控。施工环节复杂,安全隐患多,要求全覆盖。可完全利旧现有监控系统,检测算法灵活配置,支持云边方式,部署灵活。
百度地图开放平台API SDK 百度地图开放平台API SDK提供丰富的地图服务接口,支持地图展示、路径规划、地理编码等功能。开发者可轻松集成到应用中,实现精准位置服务和高效地图操作。它以稳定可靠的服务助力各类应用实现地理位置相关功能。
腾讯云微短剧行业洞察与分析解决方案 腾讯云微短剧行业洞察与分析解决方案旨在为微短剧的制作、分发和管理提供全面技术支持。该方案包括内容云原生平台、生产数据分析工具、数据化运营与管理平台、版权保护系统以及内容分发应用搭建平台等产品,打造一站式微短剧管理平台。
企业财务造假识别 针对企业(科创板,主板等)对招股说明书,公告等进行结构化解析,然后运用深度学习等智能算法从股权穿透,关联图谱,文本晦涩度等多个维度挖掘隐藏风险,识别财务造假风险,将智能算法和专家经验人机结合,提升监管效率,对风险做到早发现早处置。包含股权穿透、科技评价等。
北明数科智联控设备智能运维管理系统 北明数科”设备智能运维管理系统“摒弃纸质记录单,将设备点检、巡检、维修、保养等工作建立规范、规律的任务计划,减少人为因素导致的错检、漏检、维修不及时等问题。从事前、事中、事后做好预防、响应及分析,全面保障设备平稳运行。

甄选10000+数字化产品 为您免费使用

申请试用