转账给张三,钱却被李四收到,如何狙击凶险的 App 漏洞?——专访娜迦CTO玩命

简介:
 
   这是怎么回事?

是的,很遗憾,你可能给别人充值了。但是,叫天天不应,叫地地不灵,运营商也没收到你这笔钱。

专注移动应用安全的娜迦信息公司 CTO 阎文斌(花名:玩命)告诉正在阅读的读者你,不要不相信,这是最近一年来支付、游戏行业 App 最常见的 bug 。

转账给张三,钱却被李四收到,如何狙击凶险的 App 漏洞?专访娜迦CTO玩命

【阎文斌在2017中国移动支付年会上】

一款 App 如何安全地来到你面前

这是支付行业最敏感的地带,在 2017 移动支付年会的演讲中,他没好意思当众揭伤疤,只好在采访中和雷锋网提出了这一现象。

除了上面这种和人们息息相关的漏洞。在游戏行业,有些可以使用虚拟金币的游戏 App,在程序设计时被预留了一些接口,这些接口一旦被黑客发现,就可以做外挂、刷金币。

每个 App 都不一样,但多多少少会有可利用的点,能够达到不公平的效果,尤其像金币这些东西。以前我和厂商说过,我们只是不想搞,这种东西是没钱搞的,太累了,不想花时间在这上头,但是我们只要想花,你们没有任何一款东西能防得住我们。

只要你敢把自家的 App 拿给玩命试一试,在网络安全江湖闯荡近 10 年,曾担任 2008 奥运会网络安全技术顾问的他就敢开干,攻下你家看似严丝密合的“堡垒”。

玩命太了解 App 的薄弱地带了,正因为太了解攻击手段,所以他才想要研究如何给 App 穿上铠甲,走向明枪暗箭的战场 。

在一款 App 正式上战场前,玩命和他技术团队会先对 App 进行一次“全面体检”,就像入职一家新公司,你需要交一份体检报告,只不过玩命做的并非提交体检报告,而是在App 要被相关机构检阅,能提交合格的体检报告前先为 App 查漏补缺;或者在一款 App 版本迭代时,实时跟进检测,充当忠实的卫兵。

玩命采用静态和动态相结合方式针对客户端 App 进行分析。

所谓静态分析,就是分析应用源代码中存在的安全风险,检测包含 Android 组件安全、应用程序安全、数据安全;


动态分析,就是运行应用于安卓模拟器中,检测包含客户端自身安全,Android 组件增强检测,应用通信安全,数据安全。动态分析还要模拟用户和手机交互行为,检测交互过程中应用存在的通信安全风险,抓取应用通信过程中的资源地址,检测应用与服务器通信接口是否存在 SQL 注入,XSS 跨站,中间人攻击等安全问题。

静态分析就像解剖,研究 App 的程序编写是否规范,审核相应权限,它也像新手学车,先在驾校操练,没有面对车水马龙、真枪实弹的环境。

对玩命而言,动态分析才是“练车”的关键:把 App 放在电脑虚拟机和真实手机两个环境中“演练”,考察是否其是否能在真实的环境中正常运行,安全通信。

但是,动态分析会消耗极大的资源,因此,对玩命而言,目前大量开展的还是利用自家服务器进行线下部署。

除了让 App 能够以符合标准的姿态面对这个枪林弹雨的市场,对待一些银行、游戏领域的 App ,玩命还要为其加固,套上一层又一层的铠甲。

在 2016 年的 XPwn 未来安全探索盛会上,一个黑客团队对国内 20 家银行提供给消费者的、基于安卓系统的 20 个手机银行 App 进行攻击,发现 17 家银行的 App 存在漏洞,消费者的手机一旦被黑,无论转账给“张三”还是“李四”,在输入正确账号与密码的情况下,钱最终都会转给“王五”。

在该会议上,攻击者还表示,全国 90 %多的银行 App 都可被劫持,由此可见,互联网金融漏洞对用户造成影响。所以,当时会上专家建议厂商能够避免 App 中存在低级错误,重视产品加固,重视逻辑漏洞,不定时的进行渗透测试。

玩命的烦恼

娜迦的官网上,雷锋网(公众号:雷锋网)发现了近 20 种加固种类。雷锋网宅客频道的编辑很疑惑:这么多服务项目,到底哪些才是玩命主推的项目?

玩命坦诚地告诉雷锋网,

很多很多,但是很多我们后来都放弃了,因为教育成本太高了。技术好实现,更难的是,教育用户这段时间很难,用户市场不接纳。

用户为什么不接纳?一是涉及到 App 安全加固项目,尤其是金融类,服务对象相当谨慎;二是有些项目实在很难解释,就算是经过专业技术培训的销售人员,除非直接派出纯技术研发人员。

于是,很多不错的加固项目不得不在“性价比”下被舍弃。

玩命还有一个烦恼,自己是“出卖安全技术而生”,是一家安全技术公司,而非提倡“免费”的互联网公司。

玩命说,

如果论打架,我们没在怕的,就是防御力不敢说,因为大家都是差不多的产品嘛,你自吹自擂就没意思了。

这些都属于“防守”范畴。一个严峻的形势是,如果大家产品真的都“差不多”,压价怎么办?

在这种情况下,一些大型的互联网公司也有相应的提供安全服务的部门,他们不以此技术为生,可能仅服务自己的企业。

比如,它也做加固市场,就是维护一个小团队去来做这块,服务于自己的市场或开发部门就行了,但我们就是自己要去拼这个企业市场,一定要拿下某个单子时,这个市场上就会出现可怕的压价行为,这个东西本身价值一万元,现在卖一百,按正常来讲我就不服务来了,但是我们这个行业不服务还不行,你不服务,别人会服务,并不利于安全企业的生存与发展。

“把一个2B 的市场做成一个走量的市场,它现在肯定是畸形的。”玩命感叹。

玩命的实验

在玩命的烦恼下,有一个优势,他从未忘记过。

娜迦公司的创始人团队都是做技术出身,他们很了解安全研发或者检测人员自身的需求,虽然玩命多次强调,就这个领域而言,甚至称不上“市场”,只能说是小众的需求。

比如,一个成熟的逆向人员平时工作量很大,技术要求高。而且,培养一名逆向人员的成本比开发人员高,有没有可能让初级的逆向人员能迅速做到和成熟逆向人员一样的事情?

玩命和团队成员试图为这部分人员研发一款辅助工具——自动逆向辅助工具。

一个白帽子分析一个目标,可能出于两种目的:

1.纯研究功能如何实现、支付规则等,但是原始的汇编代码实在太多,上千类别,一时间根本找不到要的东西,如何撇开无用的部分,找到最关键的线头?

2.找bug。一个逆向人员挖漏洞,从输入到结尾,数据流怎么走,支付发到服务器,要做哪些东西?如何找到一个关键点来修改?

黑客的艺术包括两个:第一,劫持,第二,篡改。无论找什么 bug,主要考虑如何劫持它,在哪劫持它,这是最主要的,其次再考虑如何修改它,修改成什么。所以,开发这项工具最主要的目的是把主线梳理出来,让逆向人员可以顺着这条主线,来找需要的点。

虽然,这款工具还需要几个月才能上市,但玩命已经在娜迦内部开始试用,比如,在为某个客户服务防盗链时,玩命需要研究当前已经对该客户造成影响的 App。这次,应用自己研发出来的“武器”,他派出去“作战”的就可以是“经验不那么丰富的人”。

也许,这款看起来受众面不是那么大的工具,正是玩命的一块试验田,这个自认为“攻无不克”、攻击力极强的 CTO 相当了解他所属的这个人群需要什么,他的实验能否成功?未来娜迦是否还会按照这个思路走,研发出“打架、防御都不怕”,同时还能不让他这么烦恼“拼走量市场”的工具?值得期待。

       

  本文作者: 李勤

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
供应链 安全 JavaScript
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
|
安全 测试技术 网络安全
APP做漏洞渗透测试服务的重要性
很多新开发未上线的网站或APP项目平台,都对漏洞安全问题缺乏积极性导致后期出现很多漏洞而造成的损失,因为开发公司只开发设计实现功能,对安全性和漏洞是无法去检测的,术业有专攻,安全方面一定要交给网站安全公司来做,比如有做对网站或APP进行漏洞测试检测有无漏洞等问题的可以向SINE安全寻求技术支持,因为网站漏洞和咱电脑的系统补丁一个道理,每月都会出漏洞补丁要下载修复,而网站漏洞也是要每月定期排查。
116 0
|
存储 传感器 运维
微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万
微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万
157 0
微软在 Android 设备上的预装 APP 中发现高危漏洞!下载量已达数百万
|
运维 安全 关系型数据库
APP数据被泄露接到境外电话 该怎么查服务器漏洞
上海经济7月份开始陆续恢复,一些在上海做APP项目的客户开始了一系列的营销推广和发展,在众多渠道推广下,用户下载安装APP的同时,一些安全上的漏洞频发,并被高级黑客给盯上,具体的数据泄露攻击的症状为:用户刚注册好的用户信息就被泄露,不一会就会收到电话推广营销,并且有些用户的数据被恶意篡改,导致APP运营平台损失较大,比如一些用户借贷额度被篡改成20w的额度,APP项目方发现问题后立即找了APP安全应急响应服务团队进行了全面的安全应急响应服务,要求尽快找出漏洞问题的原因以及攻击进行溯源。
255 0
APP数据被泄露接到境外电话 该怎么查服务器漏洞
|
移动开发 安全 测试技术
APP漏洞渗透测试实施步骤
在开始APP渗透测试时,根据需要制定步骤,并向委托方详细说明需要使用的工具、方法等。具体操作时,会把渗透测试分成三个部分和阶段,不同的角度使区别的方法有所不同,例如在理论上把渗透测试分为准备阶段、渗透测试阶段、整体对比与评估阶段,而在技术操作上分为探测、攻击渗透、目标权限获取三个阶段。
239 0
APP漏洞渗透测试实施步骤
|
SQL 安全 测试技术
网站APP渗透测试越权漏洞介绍
网络上,大家经常可以看到数据库被脱裤、用户信息泄露等由于安全漏洞引发的问题,给用户和企业都带来了很大的损失。由于公司业务发展迅速,功能不断增加,用户数量不断增加,安全问题日益受到人们的关注。业务部门和安全部门在实践安全测试时开展合作,早期测试人员和安全同学通过手工执行安全测试用例来发现问题,随后慢慢地也开始使用一些安全工具,通过自动化的方式来提高发现问题的效率。
191 0
网站APP渗透测试越权漏洞介绍
|
SQL 安全 算法
渗透测试公司如何对APP进行漏洞检测与修复
#APP渗透测试#目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付接口也都被黑客修改过,导致APP运营者经济损失太大,很多通过老客户的介绍找到我们SINE安全公司,寻求安全防护,防止攻击,根据我们SINESAFE近十年的网络安全从业来分析,大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统漏洞,包括安装的服务器软件都存在漏洞。关于APP渗透测试内容,以及如何防止APP被攻击的方法,我们总结一篇文章分享给大家,希望能帮到更多需要帮助的人。
346 0
渗透测试公司如何对APP进行漏洞检测与修复
|
安全 JavaScript Linux
APP安全测试 该如何渗透检测APP存在的漏洞?
IOS端的APP渗透测试在整个互联网上相关的安全文章较少,前几天有位客户的APP数据被篡改,导致用户被随意提现,任意的提币,转币给平台的运营造成了很大的经济损失,通过朋友介绍找到我们SINE安全公司寻求安全解决方案,防止APP继续被篡改与攻击,针对客户的这一情况我们立即成立安全应急响应小组,对客户的APP以及服务器进行了全面的安全渗透。
465 0
APP安全测试 该如何渗透检测APP存在的漏洞?
|
安全 JavaScript 前端开发
APP渗透测试 头像上传漏洞检测与修复
多客户网站以及APP在上线运营之前都会对网站进行渗透测试,提前检测网站是否存在漏洞,以及安全隐患,避免因为网站出现漏洞而导致重大的经济损失,客户找到我们SINE安全做渗透测试服务的时候,我们都会对文件上传功能进行全面的安全测试,包括文件上传是否可以绕过文件格式,上传一些脚本文件像php,jsp,war,aspx等等,绕过上传目录,直接上传到根目录下等等的一些漏洞检测。
343 0
APP渗透测试 头像上传漏洞检测与修复
|
文字识别 安全 测试技术
APP漏洞检测 验证码被重复利用漏洞分析与汇总
在对客户网站以及APP进行安全检测的同时,我们SINE安全对验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身份验证码,再一个对重要的操作进行的操作验证码,虽然从名字上都是验证码,但这两种所包含的内容是不一样的。
254 0
APP漏洞检测 验证码被重复利用漏洞分析与汇总