日前，上海警方捣毁一个利用(yòng)网上银行漏洞非法获利的犯罪团伙，据警方初步查证，马某利用(yòng)黑客技(jì )术，長(cháng)期在网上寻找全國(guó)各家银行、金融机构的安(ān)全漏洞。今年5月，他(tā)发现某银行APP软件中(zhōng)的质(zhì)押贷款业務(wù)存在安(ān)全漏洞，遂使用(yòng)非法手段获取了5套该行的储户账户信息，在账户中(zhōng)存入少量金额后办(bàn)理(lǐ)定期存款，后通过技(jì )术软件成倍放大存款金额，借此获得质(zhì)押贷款，累计非法获利2800余万元，马某等6名(míng)犯罪嫌疑人被依法刑事拘留。

对此事件，专业的移动信息安(ān)全服務(wù)商(shāng)爱加密安(ān)全专家表示，造成此类安(ān)全事件的原因主要是利用(yòng)了该手机银行APP中(zhōng)质(zhì)押贷款业務(wù)的安(ān)全漏洞，借用(yòng)他(tā)人存单办(bàn)理(lǐ)了存单质(zhì)押贷款，而在贷款审核流程中(zhōng)未对贷款人身份进行验证，也未对终端环境进行风险监控。针对此次银行APP事件，该专家认為(wèi)金融类APP除进行常规的安(ān)全加固外，还应注意以下几个方面漏洞风险，做到防患于未然。

通讯数据明文(wén)风险

风险描述：

如果客户端与服務(wù)端交互过程中(zhōng)的数据未采用(yòng)任何加密处理(lǐ)，当用(yòng)户在支付过程中(zhōng)输入支付密码、账户信息等关键信息时会造成被黑客利用(yòng)进行监听、植入病毒或木(mù)马、窃取数据的危险行為(wèi)。黑客通过对业務(wù)通信进行劫持伪造，动态修改上下行信息，使金融APP的客户和金融机构造成巨大的经济损失。

安(ān)全建议：目前市面上的主流算法容易被黑客分(fēn)析并获取密钥key，从而可(kě)以方便的对数据进行解密还原操作(zuò)，建议采用(yòng)协议加密SDK。协议加密SDK算法采用(yòng)白盒化的思路，把密钥和算法融合在一起，在不可(kě)信的环境下达到保证密钥安(ān)全性的目的。另外，在通信过程中(zhōng)，数据经常存在被篡改的可(kě)能(néng)性，建议采用(yòng)自带数据校验功能(néng)的协议加密SDK对数据进行完整性校验，保证数据不可(kě)篡改。

H5代码逆向破解风险

风险描述：对于H5应用(yòng)来说，因為(wèi)JavaScript作(zuò)為(wèi)开放的页(yè)面脚本语言，本身安(ān)全缺陷明显，并隶属于解释性语言，对任何人来说都是不设防的，而比较突出的攻击手段如下包括H5网站被任意调试；H5应用(yòng)被随意获取相关JavaScript脚本，通过盗用(yòng)来生成仿冒应用(yòng)；H5应用(yòng)中(zhōng)JavaScript暴露其业務(wù)逻辑和系统接口，黑客通过分(fēn)析JavaScript业務(wù)代码，逆向解读应用(yòng)的核心逻辑，有(yǒu)针对性的通过应用(yòng)挖掘服務(wù)端漏洞，最终实现攻击金融机构核心资产(chǎn)的目的。

安(ān)全建议：爱加密移动应用(yòng)H5安(ān)全加固平台可(kě)针对此类风险向企业提供系统级的安(ān)全服務(wù)。该平台具(jù)有(yǒu)自动对H5文(wén)件进行加密、混淆、支持批量上传及下载H5文(wén)件、支持API接口调用(yòng)方式、支持Web JS、APPJS、公(gōng)众号JS以及小(xiǎo)程序JS代码加固、支持APP中(zhōng)热更新(xīn)框架，如RN代码加固等特点。加密后的H5代码具(jù)备常量字符串加密、常量数字加密、二元表达式加密、代码压缩、函数变量名(míng)混淆、基本块分(fēn)裂、垃圾指令注入、防调试、禁止控制台输出、一次一密、域名(míng)绑定等功能(néng)，达到对JS文(wén)件的反调试、反窃取、反篡改等保护，大大提高JavaScript文(wén)件的安(ān)全性。

终端设备环境风险

风险描述：根据媒體(tǐ)的报道，自5月份犯罪嫌疑人就开始利用(yòng)该漏洞作(zuò)案，11月份银行工(gōng)作(zuò)人员才进行报案，中(zhōng)间長(cháng)达数月该应用(yòng)都处于被攻击且未被发觉的状态，此类情况绝非首例，且不止一家。

安(ān)全建议：此类黑客攻击一般会在有(yǒu)安(ān)全风险的终端环境上运行，比如Xposed、ROOT、模拟器、双开、可(kě)疑进程、代码注入等等，爱加密提供安(ān)全清场SDK，客户可(kě)自行嵌入到App中(zhōng)对客户端所在手机环境进行安(ān)全检测，嵌入后客户端具(jù)备检测框架攻击行為(wèi)（如Xposed，Substrate框架）、注入攻击行為(wèi)（如Hjack注入、inject注入）、调试攻击行為(wèi)（如gdbserver调试、ida调试）、劫持攻击行為(wèi)、模拟器攻击行為(wèi)、ROOT攻击行為(wèi)、病毒、木(mù)马、恶意软件攻击行為(wèi)等的能(néng)力。可(kě)对发现的各种攻击行為(wèi)进行数据回调，帮助金融机构快速作(zuò)出应急响应。

此前有(yǒu)调查显示，亚太地區(qū)金融行业的106款APP中(zhōng)85%的应用(yòng)没有(yǒu)通过基本的安(ān)全检测，50%的应用(yòng)至少存在4至6个漏洞，金融应用(yòng)仿冒、金融页(yè)面钓鱼攻击、系统漏洞等问题层出不穷。為(wèi)保证金融行业移动应用(yòng)业務(wù)安(ān)全，爱加密基于金融业務(wù)特点，建立了一套牢固的移动应用(yòng)安(ān)全防护體(tǐ)系，為(wèi)移动金融业務(wù)提供可(kě)覆盖全生命周期的解决方案，保证移动应用(yòng)的合规性和安(ān)全性，从根源上解决移动应用(yòng)业務(wù)面临的各类风险。

目前，爱加密已服務(wù)中(zhōng)國(guó)银行、交通银行、浦发银行、中(zhōng)泰证券、广发证券、光大证券、陆金所、翼支付等数百家银行、证券、保险等互联网金融机构和第三方支付平台，致力做好金融安(ān)全的守门人，為(wèi)金融行业健康稳定发展保驾护航。