移动互联网时代,App已经成为了商业银行触达和经营客户的主要阵地。尤其,在疫情爆发之后,银行App作为重要的「无接触」门户,开始扮演越来越重要角色。
此外,随着新一代人工智能的蓬勃发展,智慧金融新模式、新业态不断涌现,有力促进了金融业的转型升级。诸如通过银行与第三方机构的数据共享,触达更多用户;加大对App端的技术和人员投入等。虽然智慧金融业态带来了新的商业机遇,但跨平台的数据和业务共享也伴随着极高的安全风险。
以海外银行为例。
2017年9月,美国信用机构Equifax遭到黑客攻击,导致约1.43亿用户数据遭到泄露。
2019年美国第七大商业银行Capital One当地时间12月29号宣布,大约一亿美国人和600万加拿大人的个人信息遭一名“黑客”窃取。
2020年美国最大的银行之一Flagstar遭遇重大数据泄露,影响超过150万客户。
与此同时,政策监管也成为众多海外银行App 们的“利剑”。
2016年 12月欧盟对三家银行开出4.85亿的罚单;2019年12月欧盟又对5家银行开出3.4亿欧元的罚单。
综上不难看出,对于海外银行而言,他们面临的最大挑战是如何在保证合规的情况下确保银行App 的安全性,进而提升用户体验。
_____________________________
裕信银行(UniCredito Italiano)的App安全先见
公开资料显示,意大利裕信银行(UniCredito Italiano)总部设在米兰,是意大利最大的银行集团之一,是1998年和1999年由意大利信贷(Credito Italiano)、CRT银行(Banca CRT)、Cariverona、卡萨玛卡(Cassamarca)和罗劳银行 1473(Rolo Banca l473)等7家银行合并而成。2022年5月,《2022福布斯全球企业2000强》发布,裕信银行位列第297名。
该银行主要提供个人投资,商务银行业务,国际业务,电话服务,信用卡服务,存贷款业务等。当前,业务遍及19个国家,有超过2800万用户,为欧洲最大的银行集团之一。裕信银行的核心业务主要分布于意大利、奥地利和德国南部等较富裕地区,以及中欧、东欧,在亚太地区也有布局。
自成立之初,裕信银行便一直将安全放在首位。
2018年,Facebook 发生了震惊业界的数据泄露事件,5000万人的数据遭泄露。裕信银行作为意大利最大的银行之一当即宣布终止与Facebook 的业务合作关系,直至Facebook有得当的道德行为为止。
而在新冠疫情的迅速发酵下,银行App 也被放在了更为重要的位置,同样也成为裕信银行与用户建立联系的重要桥梁,因此保证App 的安全性与合规成为裕信银行的最大诉求。
______________________________________________________________
顶象App 加固为裕信银行保驾护航
顶象端加固为App提供安全加固、风险预警及全生命周期风控保障,满足安全和合规要求。
- 全方位保障App安全
安全威胁与黑客攻击主要通过代码的脆弱性实现的。针对代码安全,顶象端加固能够针对已有应用进行安全性检测,发现应用存在的风险漏洞并针对性进行修复整改,对敏感数据、代码混淆、代码完整性、内存数据等进行保护,从源头上避免系统漏洞对于应用本身造成的安全影响。
顶象端加固能有效防御内存注入、Hook、调试、注入、多开、内存Dump、模拟器、二次打包和日志泄露等攻击威胁,防止App遭入侵、篡改、破解、二次打包等恶意侵害,其独有“蜜罐”功能、保护Android 16种数据和文件,提供7种加密形式,率先支持对iOS免源码加固。并能够对密钥存储文件、配置类文件的进行加密,保障源代码和数据安全。
2.为App提供实时风险预警
作为顶象防御云的一部分,顶象端加固支持安卓、iOS、H5、小程序等平台,独有云策略、业务安全情报和大数据建模能够力。基于防御云,顶象端加固能够为App提供移动应用运行是进行安全监测,对移动应用运行时终端设备、运行环境、操作行为进行实时监测,帮助App建立运行时风险的监测、预警、阻断和溯源安全体系。
3.为APP建立全生命周期防控体系
除此之外,顶象App加固还可实现以下功能:
字符串加密。将App的源代码中敏感字符串做随机加密处理。在运行时进行对字符串动态解密,这样就可以避免攻击者,通过利用工具进行静态逆向分析发现关键字符串信息,从而快速定位到应用中的业务代码。
控制流平坦化。将so文件中CC 代码中的执行控制逻辑变换为平坦的控制逻辑,从抽象语法树层面进行深度混淆,使得其在常用反编译工具中,极大的降低反编译逆向代码的可读性,增加逆向代码的分析难度。
指令替换。对代码中的运算表达式进行等效转换,使其在常用反编译工具中,提高破解者逆向分析门槛,有效的保护核心算法的原始逻辑。
局部变量名称混淆。对源代码中的变量名称进行做混淆操作,混淆后变量名称变成无任何意义的名称。这给分析者加大了分析强度。
符号混淆。对App应用中的类名称、函数名称进行混淆操作,增大直接用工具分析难度,让反编译逆向工具,无法直接通过类名称、函数名称进行快速定位App的核心代码。
混淆多样化。采用在混淆过程中引入随机性技术,在相同的混淆策略下,每次混淆后的代码均不一致,进一步提升攻击者通过利用工具进行静态分析的难度。
不透明谓词。将代码中分支跳转判断条件,由原来的确定值变为表达式,增加程序逻辑的复杂性、降低代码的可读性。
防动态调试。对App应用进行防调试保护、检测到配置防动态调试功能的类、方法、函数被IDA逆向工具进行动态调试时候,App应用进行自动退出运行操作,有利于保护App应用直接被动态调试,从而提高攻防对抗的门槛。
防动态注入。对App应用进行防动态注入保护,当利用zygote或ptrace技术进行App应用的注入操作时,App应用进行自动退出运行操作,以此进行防御攻击方对App应用的非法操作,避免动态分析执行代码,从而达到动态保护App应用安全。
HOOK检测。对App进行防HOOK保护,检测到配置防hook保护功能的类名、方法名、函数名在被frida、xposed等工具动态hook时候,App进行自动退出操作,以此进行提高防御App安全性,保护App不被注入攻击,抵御恶意侵入。
代码段检验。对App应用中的代码段进行完整性校验,发现代码段被篡改,App应用进行自动退出运行,防止App应用中的代码逻辑被篡改,以此进行动态保护App的源代码安全性。
完整性校验。对App中指定的函数级进行完整性校验,当应用被重新签名和代码的完整性遭到破坏时候,检测点进行触发App程序闪退,以此抵御主流的调试器调试分析,从而达到动态保护程序安全。
顶象端加固从App的设计、开发、发布、维护等全生命周期环节解决移动应用在核心代码安全、逻辑安全、安全功能设计、数据传输链路安全等多个维度的问题,助力裕信银行筑牢安全防线。
—————— 业务安全产品:免费试用