手机银行客户端安全探索.pdfVIP

信息安全 2014年·第11期 Practice 栏目编辑：罗锦莉 E-mail:luo102500@163.com 手机银行客户端安全探索 ■   中国人民银行西宁中心支行   熊卫东 一、引言 为代码混淆。在此次几十家金融手机客户端的测试过 随着我国金融业信息化程度越来越高，各家银行 程中发现，大部分的客户端采用的代码混淆技术并不完 也先后推出各自的电子金融产品。新信息技术在给银行 善，基本能够从混淆效果的代码中看出部分关键逻辑， 业务带来巨大方便的同时，也带来了潜在的巨大风险， 对外暴露的类代码有的未经过混淆等。绝大多数的App 目前愈发流行的移动电子支付业务就是其中之一。 并未对签名证书进行校验，这可能导致客户端被仿冒而 移动电子支付的兴起是随着智能移动终端的普及 执行攻击者的代码，并带来安全隐患。还有些客户端对 开始的，智能移动终端不仅功能强大，而且便于携带， Service安全并未做太多考虑，导致这些服务可能被恶 加上3G/4G网络技术的发展，使得移动智能终端以及移 意程序利用。 动终端应用得到了迅猛普及与发展。智能移动终端中最 2．敏感信息泄露 为常见的就是智能手机，以智能手机为载体的电子银 开发人员为了便捷开发，通常会在本地存放一些配 行——手机银行应用也随之产生。但是由于我国的应用 置文件、缓存等数据，且这些数据中可能存在敏感信 系统安全测试体系与方法都起步较晚，发展也尚未成 息。例如有些客户端将用户的登录数据存放在App的数 熟，所以目前即使每家银行都会对自己的手机银行应用 据库中，更有甚者将客户端的明文账号、密码、Cookie等 进行安全测试，手机银行客户端依旧暴露出很多问题。 信息存放其中，大多数网银客户端使用的WebView控件 本文以目前的手机银行Android客户端为例，与大家讨论 包含HTML解析引擎，而这个引擎会在数据库中存放一 当下手机银行客户端安全测试中常见的安全漏洞与一 些缓存文件和Cookie信息，这可能带来信息泄露问题及 些解决方法。 缓存投毒攻击。而有些开发人员为了在调试过程中实 时监测程序运行状态，会在某些地方添加LogCat日志 二、手机银行常见安全漏洞 进行记录，待应用客户端发布的时候并未及时删除掉 （一）共性安全问题 这些信息，就可能导致用户的一些敏感信息泄露，例如 为方便大家能更宏观地理解手机银行Android客 明文账号、密码、用户转账信息等。还有绝大多数银行 户端的安全问题，现对国内数十个银行Android手机客 客户端采用WebView控件的方式定制用户界面，但是并 户端从客户端自我保护、敏感信息泄露、客户端安全 未处理好这个控件的访问接口，导致前jSQL-Injection- 设计以及加密通信这4个方面进行抽样测试。对此次 v0.0.JAR端JS代码可以执行后台的Java代码，攻击者可 测试结果分析总结得出常见的共性安全问题有以下几 以利用这些缺陷执行任意系统指令。 方面。