黑客入侵攻擊下的銀行 App，數據安全何去何從？

2019 年 10 月，00 後田某因非法獲取計算機信息系統數據罪判處有期徒刑三年，並處罰金人民幣一萬元。當事人田某隻有初中文化，但卻擁有極強的計算機天賦，在 2019 年 1 月 5 日到 1 月 15 日期間，經過軟件抓包、PS 身份證、重放攻擊等手段，在某銀行手機銀行 App 內使用虛假身份信息註冊銀行Ⅱ、Ⅲ類帳戶非法銷售獲利。

案例分析

不少人會好奇銀行 App 是如何被一步步經過抓包、入侵、重放攻擊，從而讓黑客有利可圖。讓咱們具體分析下做案過程：

• 首先，田某經過本人身份證信息，在註冊帳號正常流程中，經過「軟件抓包」技術將銀行系統下發的人臉識別身份認證數據包進行攔截並保存。
• 其次，在輸入開卡密碼環節，田某將 App 返回到第一步（上傳我的身份證照片），並輸入僞造的身份證信息，並在此進入人臉識別身份認證環節。
• 最後，田某使用先前攔截的身份認證數據包（含本人信息）進行上傳驗證，使得銀行系統誤覺得此環節需比對本人身份信息，遂而成功驗證本人人臉，使得其可以成功利用虛假身份證信息註冊到銀行帳戶。

客戶端 App 數據安全刻不容緩

咱們應當如何從新審視客戶端的數據安全問題？經過解析支付寶目前在「端上安全」的設計機制，也許可以帶給咱們一些新的啓發。

App 開發期的安全機制設計

支付寶經過打造多層次的端上安全機制從而防止 App 被黑客或木馬攻擊，具體主要分爲「本地域」、「線上運行」以及「App 端」三個層面。在本地域方面，經過代碼混淆、加密等手段實現二進制防禦；線上運行時，經過「安全黑匣子」打造的數據安全環境以及加密等手段實現數據防泄露；在 App 端，藉助數據安全存儲、安全簽名等手段充分確保業務功能的穩定運行。

客戶端 App 數據安全傳輸、安全存儲

針對客戶端的數據傳輸與驗籤，要作到精細化的安全一直是老大難的挑戰。藉助「安全黑匣子」，目前支付寶已實現針對應用級別數據如 AppSecret 採用加密存儲，經過數據加簽接口實現各種上層業務的封裝。

藉助安全黑匣子，客戶端經過應用公鑰和祕鑰加密針對生成的數據進行離散存儲，保證加密祕鑰的安全性。而安全黑匣子自己的代碼混淆、多重反調試機制，使其安全性能極大提高保障。

除此以外，安全黑匣子基於反調試技術使得常見的調試工具如 GDB、IDA Pro 的動態調試分析技術失效，基於導出表混淆、垃圾指令等手段充分提高攻擊者靜態分析應用的難度。如此動靜結合，客戶端數據傳輸及存儲安全可以充分保障。

用戶信息驗證

隨着終端設備算力的持續加強，目前移動端設備藉助強大的 CPU 和 GPU 徹底能夠進行很是複雜的運算。而由此催生出的一系列移動端 AI 引擎，如支付寶的 xNN，幫助咱們可以進一步增強用戶信息驗證的智能化。

結合端上金融業務屬性，如銀行卡及身份證 OCR 識別、人臉識別、活體檢測等智能服務，已通過近 2 億用戶驗證，具有識別準確率高、速度快、模塊豐富等特色，同時在支付寶小程序中也已開放。 

App 全生命週期防禦

關於客戶端 App 安全，其實是一套從 App 開發、上線及使用的一站式解決方案。在 App 開發階段，提供代碼混淆、數據加密、數據庫加密等安全開發以及數據安全能力；在上線階段，提供 App 加固的能力，經過 DEX 加殼、SO 加殼、防反編譯、防重打包等能力，提高 App 的總體安全水位；在使用階段，經過 API 簽名、API 數據加密等手段來保障數據的完整性及安全性，同時藉助安全加密鍵盤從而保護用戶輸入的信息安全性。

mPaaS 客戶端 App 安全能力

做爲源自支付寶的移動開發平臺，mPaaS 目前已完成支付寶金融級的端上安全能力沉澱，不只可以提高 App 應對高峯帶寬下的服務質量挑戰，同時在弱網狀況下的可用性、針對網絡請求的危險識別能力均屬於行業前列。目前，藉助 mPaaS 客戶端的加固技術與黑匣子，可以保障移動端的代碼安全和網絡層的數據安全，提供加簽、加密等方式，同時網關可以識別出客戶端環境，並有能力針對可疑請求作攔截。

結合中國人民銀行於 2019 年 9 月出臺的《移動金融客戶端應用軟件安全管理規範》，針對客戶端應用在數據安全、身份認證安全、功能安全設計、密碼祕鑰管理、數據安全、安全輸入、抗攻擊能力等方面均提出明確要求，全面覆蓋客戶端應用在設計、開發、發佈及運維的全生命週期。

mPaaS 產品目前已經過中國金融認證中心的安全測評，並服務銀行、證券、政務、交通等衆多行業超過 2000 家客戶。同時，針對客戶端安全方面 mPaaS 提供全方位安全防禦方案，真正幫助企業打造安全穩定的移動應用，更好地作到技術驅動業務創新、爲業務帶來美好體驗。