NSC2015百度姜向前:移動支付安全
責編:penggao |2015-07-01 11:32:51尊敬的各位來賓,各位領導,大家上午好!很高興和大家一起分享百度移動安全部在移動支付領域所做的一些研究。
首先,看一組數據,截至2012年12月份,中國手機網民已經達到5.52億,其中使用移動支付的用戶達到2.67億,占總體手機用戶接近一半,比2013年1.26億增加了112%。中國手機銀行交易規模32.8萬億,較2013年增長157.1%。第三方移動支付交易規模已經達到近6萬億,比2013年增加了391%。這些數據無論是手機銀行還是第三方支付都在快速發展。今天在這里我和大家分享移動安全支付所面臨的問題。
在近期百度移動安全團隊對四個品類62個應用進行了分析,包含了手機銀行、電商、第三方支付以及保險理財四個品類,我們找了62款最熱門的應用。在中國尤其Android用戶下載應用要通過不同的渠道,不同的市場,包括論壇下載。我們通過不同的下載渠道里累計抽樣了5758個樣本進行分析,發現形勢很嚴峻,中間超過100個應用下載的樣本是非正版的,就是盜版的應用。其中某個電商的盜版應用多達97個,就是它一半左右的下載渠道下載的都是非正版的東西。手機網銀也是重災區。19家銀行當中,某一個銀行非正版渠道就多達30個。
這些盜版應用一方面來自仿冒的應用,一方面來自篡改的應用,無論是仿冒還是篡改的應用,如果用戶下載時都有可能導致他的數據丟失、系統破壞、用戶個人信息泄露,甚至導致個人財產的損失。所謂的仿冒應用是黑客或黑色產業鏈的作者他去完全模仿一個正版的應用,包括應用的名稱、應用的ICON,組織頁面的布局和顏色,看上去和正版應用類似,但后面的后臺和邏輯是自己建立的。篡改應用,黑色產業鏈開發者去下載一個正版的應用進行解剖,植入自己惡意代碼重新打包進行發布,整體盜版應用會給用戶帶來極大的困擾。
仿冒應用,仿冒某手機客戶端手機網銀頁面,里面有個明顯的廣告條“新年大抽獎”活動,用戶點擊廣告條之后會誘導到填寫個人信息頁面,包括用戶的帳號、密碼、手機號之外,用戶填寫完成,提交之后讓用戶會有抽獎的活動,用戶很高興,中了一個20元的話費。之后會有彈窗提示分享到好友,這樣用戶看到會大規模通過微信、微博、朋友圈、郵箱傳播,這樣帶來病毒爆發式的增長。百度安全捕獲到這款應用病毒樣本已經監測有幾千人下載了這個病毒,如果不用查殺統計去預測,48小時內這樣的病毒感染人群會超過100萬人次。
篡改類應用,我們捕獲到支付寶大盜這樣的應用,它通過把惡意代碼打包到正版支付寶當中,啟動應用之后會自動上傳用戶手機號碼、短信等,遠程自動屏蔽來自支付寶、淘寶的短信,并且通過釣魚頁面對虛擬電話,去騙取用戶姓名、手機號、身份證號等各種信息,然后又誘騙用戶修改用戶名、支付密碼,進而竊取用戶支付寶資金。由于它可以屏蔽來自于官方客戶的短信,所以,這一切都在用戶不知情的情況下去做的。
正版應用本身會有哪些安全問題。
在今年5月份,百度移動安全專家團隊對17款支付類應用,42個在線交易類應用進行安全審計,審計的結果是不容樂觀的,所有被檢測的樣本均不同程度存在這樣那樣的安全問題,尤其漏洞方面,個別手機網銀客戶端多達580多的安全漏洞,其中高危漏洞多達43個,某一款理財軟件漏洞個數超過1200個,某一款非常知名的電商軟件漏洞數量最多能達到79個。
正版應用由于研發過程中,開發人員往往趕工期,開發邏輯在應用實現上,趕快把產品發布到市場上,對安全性沒有做更多的考量。由于正版應用研發過程中,代碼本身所帶來的漏洞,它能給大家帶來哪些危害呢?首先是拒絕服務大家非常熟悉;遠程威脅,他拿到客戶客戶端,他通過客戶客戶端發送遠程代碼執行達到某些黑客特殊的目的;權限能力的泄露,每一款應用都或多或少構建了特殊的能力,一旦這個能力權限泄露的話,相當于他的業務邏輯向黑客開了一扇門,比如這款應用有讀取本地應用數據庫的能力等等,這種能力如果得不到很好保護的話,也是非常危險的;信息泄露,大家都很清楚,用戶個人帳戶和密碼有泄露的風險。
中間人的攻擊,大會開場之前我看到視頻里播放了心臟出血漏洞的危害,移動互聯網尤其大量移動應用它的漏洞也有可能導致中間人攻擊。手機病毒數據,2014年全國Android平臺新增病毒軟件數量達到91.7萬個,較2013年增長4%。數量不大,但用戶感染量增幅是非常大的,2014年的Q3比2013年同期感染了達到了7倍,由此可見它的病毒危害和病毒傳統能力比之前有顯著的提升。
今年6月份百度安全捕獲到最新的,我們內部叫GOST病毒(網銀神偷)。某一款手機網銀感染了網銀神偷病毒之后,用戶正常登錄網銀,如果用戶向親朋好友發起一筆轉帳,很正常地按照一步步流程填寫帳戶以及要轉帳的金額,得到的轉帳確認頁面,比如給張三轉帳確認等信息都沒有任何問題,把驗證碼提交之后,看到網銀轉帳成功的頁面,這一切看上去都是非常正常的。但很詭異的現象發生了,張三并收到這1000元,這筆資金莫名其妙轉到黑客帳戶里,類似這樣的病毒未來會越來越地發生。看上去形勢是非常嚴峻的。
分享另一類病毒(微信大盜),這個病毒的原理,通過它的主進程注入到LiveShow(音),它檢測用戶的聊天記錄、好友關系、通訊錄等等信息,通過發送廣播的形式,主惡意進程把用戶的隱私上傳到服務器端,通過掌握了用戶所有的隱私數據之后再進行頂點一對一的欺詐,這個欺詐成功率是相當高的。不可回避的是欺詐短信,百度數據顯示,2014年全國垃圾短信數量為454億條,換句話說我們每人平均每月要收到9條垃圾短信,其中3%是詐騙短信,詐騙短信當中有超過48%的詐騙短信是和支付類相關的,就是和銀行、保險理財相關的。通常一條短信用戶收到是“尊敬的某某銀行客戶您好,您的銀行卡在某某ATM機上取款3000元,如果您有疑問請撥打某某電話”,在座安全專家收到這樣的短信都知道是詐騙短信。但黑色產業鏈他們發這樣的短信成本非常低,一發就成千上萬條,一定會有小白用戶收到這樣的短信就撥打了這樣的電話,繼而進入詐騙環節。詐騙環節當中最高的是偽基站的短信偽基站一般是模仿正常的某網站的官方客服電話或某網銀的客服電話。這是百度協助公安部破獲的偽基站犯罪團伙的作案工具,可以看到作案工具非常精巧,平常在放A4紙的小盒子里,通常這樣的作案工具放在拉桿箱或背包里,在人群密集,比如大會周圍游蕩,或者開著車在繁華的車道上進行游蕩,方圓2.5公里的用戶就接入到這個偽基站當中。S代的偽基站,可以做到,用戶可以做到撥打電話和上網,可見這樣的偽基站對用戶的安全帶來多大的威脅。
這是百度衛士做的偽基站地圖,偽基站上線以來近一年時間攔截到了偽基站有超過1億條,這個網址大家可以到百度網站上訪問,這個數據我們也是分享的。
2015年,我們在“3·15”晚會上提到了風險Wi-Fi,通過百度7.4億用戶數據累計,進入到風險Wi-Fi的用戶占比超過36%。受偽基站影響的用戶超過4%。DNS被劫持的用戶占比是2%,DNS被劫持之后,用戶訪問網頁,URL會跳轉到黑客構建的欺詐網站當中。
最新研究結果顯示,Android自發布以來已經發現27處安全漏洞,其中“假面”本地權限漏洞影響到2.1到4.4的Android系統版本。不僅來自應用本身的安全威脅,安全系統本身的安全漏洞都給我們整體是非常嚴峻的安全形勢。作為從業者和行業,我們如何避免或能做些什么呢?百度的建議是第一,提升安全意識,在企業當中做安全宣講,安全播報,關注安全熱點事,安全有新的漏洞發布在內部及時進行通告,制定安全規范。
提高安全代碼等級。我們發現幾乎所有的安全應用漏洞都可以在編寫代碼時進行提前修復,安全團隊里我們建議設置安全技術專員,普及基礎安全技術知識,及時更新安全漏洞目錄,加強代碼自查,把安全漏洞扼殺在研發過程當中。
如果我們的產品研發完成,發布之前建議進行安全審計,進行靜態防護能力構建和動態防護能力構建,對安全漏洞進行掃描,做到本地數據的存儲安全以及數據傳輸過程中的安全。產品發布之前我們建議使用第三方廠商應用加固技術進行加固,防止黑客二次反編譯和二次打包,防篡改和二次注入,比如微信大盜注入類威脅,防止黑客進行調試。同時,這種應用加固技術可以進行內存數據保護和本地術語保護。對不安全系統環境數據和不完全網絡環境數據進行及時監控,在模擬設備上進行數據的監控以及模擬數據泛指App運行在不安全網絡環境當中,開發者及時監控也可以避免自己的業務邏輯被這些黑客竊取,同時監控盜版篡改的數據,當我們發現某一個下載站或下載論壇游這樣的應用可以及時處理這個事情。
針對安全問題和安全威脅,分享一下百度所做的事情。百度移動安全整體解決方案,因為百度有20款應用量獲益的產品,包括百度錢包,百度糯米和支付強相關的應用,我們會把百度安全的經驗分享給開發者。在產品研發之前就進行安全培訓、技術咨詢,在開發過程中給予專業的安全開發指導。產品研發完成之后進行安全審計,在產品發布之前進行加固,通過百度移動應用加固技術進行產品加固,達到防注入、防篡改、防盜版、防數據竊取等功能。
安全簽名,品質認證,應用發布之后,通過運營數據,持續地監控風險數據,進行動態預警,最后形成安全報告給開發者。
詳細來說,移動應用安全審計系統,內部代號狼煙系統,結合三代神經網絡對App可以進行深度掃描。在PPT和大家分享的移動安全漏洞都是基于這些平臺進行審計的,這些平臺也是開放給所有的移動開發者。
更高等級的加固技術可以抵御一切攻擊手段,通過百度加固技術可以實現動態加解密,內存保護、防調試、數據加密、防注入、內存保護。
做風險數據的監控,對于大部分開發者來講是門檻非常高的。百度基于大數據的優勢會把安全數據開放給開發者,包括風險數據的提示,偽基站信息、詐騙短信、詐騙號碼等防詐騙能力,反病毒能力,把安全數據分享給行業客戶。
在移動安全,百度倡導的是智能化、全球化。所謂的智能化,通過大數據和人工智能去深度做病毒的檢測,全球化和大會主題也很相關,從全球化視野去做全球化的預警、感知和及時查殺,還提到開放化,百度會把安全能力開放給行業客戶,和行業客戶一起去抵御現在所面臨的所有安全風險,為“互聯網+”保駕護航,謝謝各位!