惊爆|某银行APP因漏洞损失2800万，三六零天御揭秘银行APP常见安全隐患

中国新闻社|12月17日电（记者 李姝徵）记者17日从上海警方获悉，近日警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙，该团伙利用银行APP(手机应用程序)安全漏洞，使用技术软件成倍放大定期存单金额，从中非法获利2800余万元，马某等6名犯罪嫌疑人被依法刑事拘留。

以上为中国新闻社报道。

针对此项移动安全事件，三六零天御安全专家连夜对应用市场上数十款金融类APP进行分析检测，发现绝大多数的APP都有进行相关的安全防护，但部分APP仍存在安全隐患，主要表现为：

1. JavaScript 动态下发核心代码风险
为了追求开发效率，通过webview动态加载JS的方式实现其应用核心功能。由于JavaScript逆向难度低，动态下发的JavaScript无法被应用自身的安全防护手段保护，导致应用核心功能的安全风险大大增高。加之对于下发的JavaScript没有进行任何混淆处理明文下发。

通过分析JavaScript业务代码，黑客可以逆向解读应用的核心逻辑，有针对性的通过应用挖掘服务端漏洞，最终实现攻击金融机构核心资产的目的。

2. 通信链路安全风险
通信上使用的https存在客户端忽略服务端证书和单向校验证书的漏洞，导致黑客通过构造https sever 进行中间人攻击，进而无任何压力的截取明文JavaScript业务代码以及服务端和客户端的业务通信信息。

通过中间人伪造通信，黑客可以对于业务通信进行劫持伪造，动态修改上下行信息，使金融APP的客户和金融机构造成巨大的经济损失。

对于上述的攻击手段，三六零天御提供以下安全解决方案，可有效应对此类安全攻击。

1）应用漏洞检测
此次事件中，核心是应用和业务逻辑漏洞利用。在应用上架之前，建议使用三六零天御的安全评估产品——360评估保，进行全方位“体检”，及时发现应用安全问题，并进行修复。

三六零天御集成了360多个安全团队的检测能力，可从应用漏洞检测、应用合规检测、应用安全检测、业务安全检测四个方面、近百种安全检测项目，为客户提供专业全面的评估报告。

2）通信协议加密
通信协议破解，已经成为黑客最常用的破解手段之一，如可以对下发JavaScript代码进行动态修改，从而进行中间人攻击，建议使用通信协议加密保护方案，为客户端和服务端的通信数据安全提供了安全保障，通过采用SSL和TLS安全的传输加密协议组织攻击者分析网络数据，并对Https通信证书进行校验和锁定，有效屏蔽中间人攻击，保护通信中的协议安全。

3）H5加固
对于使用JavaScript文件进行核心功能开发的用户，建议对JavaScript文件进行加密处理，以防止明文代码被泄露，三六零天御提供的H5保护方案，通过将JavaScript代码进行混淆加密、压缩等手段达到对JS文件的反调试、反窃取、反篡改等保护，大大提高JavaScript文件的安全性。
该方案可以用于APP、微信小程序、快应用等多个应用场景。

4）危险环境检测
根据媒体的相关报告，5月份犯罪嫌疑人就开始利用漏洞犯案，11月份银行工作人员才进行报案，中间过程长达数月，一般此类黑客攻击，都会在有安全风险的终端环境上运行，比如Xposed、ROOT、模拟器、双开、可疑进程、Host篡改等等。

通过三六零天御提供的环境检测功能，可以实时监测Android移动设备上存在的恶意环境，识别异常设备集中存在的地理位置，并快速判定存在业务欺诈嫌疑的设备。
来源 360加固保