从webview看移动支付风险,再谈APP应用克隆的几点思考
1月9日,腾讯玄武实验室的一场“低调”发布会成为了近期业界乃至社会大众讨论的热点。发布会通过安卓手机与APP应用间多个已知漏洞,无需植入任何木马或恶意代码,“随机”组合多个安卓系统漏洞便完美呈现了一场针对支付宝支付的远程攻击,一时间业界舆论一片哗然。笔者针对这一巨头间司空见惯的攻讦并无意做过多评价,况且相信以二者的技术实力,这样“秃子头顶上的虱子”般的漏洞们早就在发布前便完成了修复,不然也不会在旧版应用上演示完成。
然而,就技术实现而言,DPLS Lab作为信息安全独立第三方实验室中的一员,针对目前所有在媒体和官方渠道上所公开的漏洞信息和技术细节,笔者结合自身多年从事支付安全研究的浅薄见解,还是做了一番深入思考,就此形成的所谓的可能结论,还是产生了些许不安:这一由于系统漏洞通过短信传播方式实现的针对二维码支付的远程攻击方式,还会影响多少无硬件保护的软件APP移动支付方式?
一番探究后,笔者发现其针对目标APP成功实施攻击两个最重要前提是:
其一、为了更好的用户体验感,包括安卓操作系统在内的智能手机厂商和系统开发方为便于用户新旧手机切换时原有数据、文件、APP和配置信息等等用户个人化数据的迅速迁移,纷纷在其操作系统中预留了此类用户个人化数据自动迁移的类“应用克隆”接口(现在看来已成为系统漏洞)。
其二、就是所谓的Android WebView存在的跨域访问漏洞,且由于APP开发过程中所存在的一些“不明智”举措,促使该漏洞成为可被进行“应用克隆”攻击的最大帮凶。该漏洞的原本设计用意仅旨在通过网页URL访问唤醒第三方APP应用,这一设计方式亦被广泛的应用场景所使用,从而成为启动各类APP的重要入口方式之一,如点击链接启动视频播放APP播放一段视频就是一个司空见惯的应用场景。
有了以上两个前提,黑客们结合自己对于恶意链接传播的娴熟技巧与用户们或是好奇或是占便宜的心态相结合,一次完美的攻击便可以一蹴而成。而本次攻击的实施过程中的技术细节可笼统的理解为:此类攻击的目标多为通过登录账户进行保护的APP,当用户收到恶意短信后,点击非法链接(URL)唤醒支付应用APP,存在上述WebView漏洞的APP运行过程中所产生的的敏感数据和隐私文件(包括用户账户登录凭证等)被通过链接加载的外部可控HTML文件非法跨域file访问,并被传输到指定远端服务器,从而实现“应用克隆”攻击。
第二、二维码扫码直接中招。 值得注意的是,如果希望上述攻击过程如数实现,除了技术化的漏洞切实存在于设计“不明智”的APP以外,无风险防范意识的用户操作也是其必要条件之一。但是,中国的广大用户接触互联网及其周边产品已经超过30年,移动互联网趋势下国内日益增多的电信诈骗手段和屡见不鲜的案例通过媒体的不断曝光早已司空见惯,相信如果不是设计精妙,一个普通用户在对莫名短信产生信任感之前,冒然的对短信中的未知链接进行点击,恐怕这样的行为在当下应该不会成为大概率事件。
然而笔者仔细回想了攻击过程中的每一个细节,区别于以往电信诈骗、钓鱼网站、“李鬼”应用攻击手段的不同,此次黑客并未使用任何传统的木马病毒,攻击仅仅是通过针对存在于安卓操作系统和APP中的各个漏洞进行有机组合后,简单利用客户好奇心态神不知鬼不觉的完成了应用克隆攻击,而全部的交互过程仅仅停留在用户需要“配合”点击短信中的链接这一小概率操作即可。反复思考后笔者不禁发现,还有一个被遗漏的重点:针对存在漏洞APP的攻击是源自于用户冒然点击短信中的非法链接,从而促使安卓操作系统通过URL激活被攻击目标APP后完成的。然而URL的传输除了通过短信直接发送以外,还有一个更为直接且应用广泛的方式,那就是扫描二维码。无论是下载APP、电子支付、各类门票应用、商品溯源、点餐下单、公交购票、二维码导游等等,移动互联网浪潮下,二维码已然成为线下到线上的入口,每天我们身边围绕着各种各样的二维码应用,而这些二维码所传输的大多都是URL链接,而用户通过各种扫描APP软件通过这些入口激活更多的APP从而接入各种服务。
如此看来事情似乎要比之前分析的严重一些了,笔者作为一个有较强信息安全风险意识的普通消费者,也许可以对于各种短信、微信、邮件、网页中传递而来的未知链接心存芥蒂,可现如今的移动互联网世界中要笔者在日常生活中拒接扫描二维码,亦或是面对看起来“长得都很像”二维码URL扫描前加以甄别,这恐怕绝非易事。难不成扫码前先要启动某个手机杀毒软件先行验看一番吗?虽然面对两大互联网巨头企业的应用此类漏洞早已封堵,可毕竟拥有扫描功能的APP可绝非仅此二者而已,反观网上各类分析文章与公关稿件中,似乎也有不少作者意识到了此类衍生风险,然而应对之法除了教育用户及时更新APP以外,就只是草草丢下一句“切勿随意扫描不太确定的二维码”,可这“不太确定”又该让普通用户如何界定呢?毕竟生活中许多场景下扫描二维码已然成为一种默认的习惯,用户具有天然的习惯养成感和信任感,尤其当它与支付方式相连接后。
第三、实现移动支付远程攻击,无需root或窃取手持终端。 基于手机所兴起的移动支付,在经历了几年的飞速发展之后,已然成为势不可挡的大势,从二维码到云闪付,从HCE到NFC,几年时间一个个原本生僻的技术专业词汇,已经成为家喻户晓、老少皆知的支付新方式。也正因为此,人们的生活连同支付方式发生了很多翻天覆地的变化。从货币交易到基于银行卡交易,中国老百姓的消费习惯用了十几年才完成支付电子化的改造,然而从卡片支付到无卡支付,再到移动支付,这一切的变化却发生在这短短几年之间。
回顾这几年间电子支付手段的变迁,笔者作为亲历者,可谓感触良多。简单回顾这一里程,笔者卓见可大体分为以下五个阶段:
【第一阶段】磁条卡兴起,电子化支付替代纸币交易。这一进程大多开始于改革开放后,随着存折的逐渐消失,磁条卡成为银行主要发行的账户载体和电子支付的主要手段。然而磁条卡缺少加密机制使其在交易中极易被伪造。
【第二阶段】IC卡迁移,银联搭建电子支付基础设施。2002年,随着我国自有支付卡组织银联的成立,电子支付受理环境得到了显著的改善,随之而来的银行卡IC化迁移,更是极大的改善了用户在日常电子支付中安全性与便利性。
【第三阶段】智能手机兴起,移动支付技术群雄逐鹿。2011年,随着当时的智能手机巨头与银联合作的首款基于SD卡的NFC移动支付手机的发布,借助IC卡与智能手机融合的移动支付风潮正式到来,一时间SIM卡、SD卡、手机壳、贴片卡、嵌入式SE、HCE等各项面向智能手机的移动支付改良方案纷纷在市场中出现,百花齐放。
【第四阶段】二维码支付出现,互联网巨头追捧。同样是在2011年,由互联网巨头企业支付宝推出的二维码支付技术,也加入到了移动支付的技术浪潮中,依托于便捷操作和纯软件轻量化部署等先天优势,最终在经历种种争议后逐渐被包括微信在内的众多互联网企业所推崇,并最终获得监管层认可,成为线下支付的重要补充部分。
【第五阶段】ApplePay入华,NFC三分天下。2016年,智能手机巨头苹果公司看准中国市场良好的非接触式IC卡受理环境,携NFC支付技术进入中国联合银联共同推广基于嵌入式SE芯片的所谓安全移动支付技术,并很快获得所有手机厂商的跟进,至此银行卡、二维码、NFC三大技术在中国电子支付市场三分天下。
然而,一直以来,电子支付尤其是移动支付技术,在给用户带来前所未有的便利体验同时,其支付安全性一直是一个备受瞩目的话题。首先有来自监管层的压力,毕竟金融安全关系国计民生;而作为技术践行者的金融机构、互联网企业和设备厂商更是首当其冲责无旁贷,无不使劲浑身解数让其支付技术越来越复杂,越来越安全,上述五个技术发展阶段变可见一斑;更重要的是来自广大用户的关注,毕竟谁丢了钱都不会善罢甘休。笔者还记着早年间与一位著名手机品牌的支付项目经理对话时,曾不厌其烦的阐述支付安全重要性的上述观点,无奈却被反讽道:用户的钱,放在钱包里尚可丢的,怎么放在我手机电子钱包内却丢不得了?可叹这浮躁社会下逐利者的无知与无畏,一招失算让这家企业在移动支付上起个大早却赶了晚集,至今表现低迷。
随着技术的日新月异,针对各类移动支付方式的恶意攻击手段也层出不穷,或争名或逐利其后每年的黑客大会和媒体报道中,都会见到有移动支付技术中招的新闻。为了更好的完善移动支付技术的安全性,增加攻击者的难度,智能手机厂商、互联网企业以及金融机构纷纷对原本依赖在用户名和密码保护的账户支付体系中,不断融入新的技术手段,以提高支付安全性门槛。总结来看无外乎云端不断完善的风控机制和随时更新的漏洞库,管道端日益增强的端到端加密体系的运用和结合令牌Token技术等的创新应用,终端启用生物识别技术唤醒和增加硬件可信根等。其后黑客们发现在重重保护下移动支付似乎并非那么轻易可被破解,即便最新暴露的针对指纹支付和智能POS机的攻击案例,黑客最大的难点来自于需要首先可以接触到用户的手机或POS机,从而才能达成指纹破解或取得root权限,而其后的攻击实施更多只是炫技,并无太多实操。更多技术细节可访问:
而这一次的攻击方法,让笔者后怕的是:攻击过程从远程发起,通过短信或二维码传输,攻击者全程可无需接触手机,更无需取得Root权限。换而言之,此类攻击完全具备实操可行性,且易于复现与传播,更可怕的是众多具备扫描功能APP开发者并无短平快的破敌良方,甚至无所警觉,更不必说每天乐此不疲的广大扫码用户。
第四、现行标准尚待完善。 攻击视频发出后,网络上很多技术流的评论其实纷纷给出了简单的修改建议,如封堵WebView漏洞、每交易上送“IMEI”或硬件指纹信息、增加随机密钥或动态验证机制以及APP执行交易前对其运行时环境进行扫码等等。笔者也第一时间就以上的漏洞和补救措施,与信息安全、支付安全行业内多家检测实验室、技术工程师、标准制定专家等进行沟通,基本得到相应的技术肯定。然而一番热烈讨论过后,当话题聚焦到:现行国内外众多移动支付技术标准和安全标准(如CC、EMV等)中针对此类漏洞可否存在防护要求或技术实现要求,大家往往无法立即给出积极答复。单单是谈到现行结合Token技术实现的二维码、HCE等纯软件支付技术手段中,针对上送报文中是否有“模拟卡”手机端“IMEI”或硬件指纹信息上送并校验要求时,得到的答案大多模棱两可。笔者匆匆查询了相关国际技术标准,发现标准中针对报文有要求的技术标准本身就不多,而提及终端信息上送的仅局限于受理POS终端,而对于模拟卡的手机似乎并不明确;而对国际相关安全标准研究后,笔者庆幸是在其针对使用在移动支付场景中的APP软件安全要求中,确实提及了相关运行时安全的检查要求。随后,笔者结合信息安全领域内全球使用最广泛的Common Criteria标准,针对此次黑客攻击进行了“纯属娱乐”的模拟实验室攻击评分,结果如下:
可见纯软件实现的支付技术其安全级别并不理想(仅供把玩)。
第五、二维码支付、HCE、共享、交通应用。 最后,说一些题外话,二维码、HCE、NFC仅仅是实现移动支付的不同技术手段,虽安全性不尽相同,但其实施成本也成正比。在追求体验的商业氛围推动下,二维码技术不仅用于互联网公司的支付应用APP,众多商业银行如今也在各自的网银中添加了此类功能,以满足客户更多的需求,且不说还有现在风头正紧的交通领域应用和扫码共享经济的兴起。在笔者看来追求用户体验和安全的技术道路上二者只有相互平衡才能真正胜任不同风险威胁下的多样应用场景,切不可顾此失彼。
作者:DPLS Lab 安涛
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
微信支付也能“克隆”!鹤壁一商家遇到蹊跷事……
“昨天有一名30岁左右的男子来换500元现金,我把现金给了他,他给我看了微信支付成功的页面,结果到晚上我才发现并没有收到他支付的钱。”7月20日,在淇滨区海河路上做茶馆生意的张先生向记者讲述了自己被骗的事。
张先生称,7月19日11时他正在店里盘货,一名30岁左右的男子走进来,说想找他换500元现金。
“他说朋友结婚,自己慌着去随礼,但身上没有现金,他通过微信支付给我500元,让我给他换500元现金。”张先生想着平时店里顾客常找他换现金,没有多想就给该男子拿了500元现金,该男子扫了一下张先生贴在墙上的微信二维码。
“他将微信支付过程中出现的信息
和最后支付成功的页面让我核对,
我看自己的微信头像和昵称都没有错,
但我当时正忙着盘货
没及时查看自己的手机信息。”
张先生说,晚上他做当日结算的时候
发现有500元对不上账,
这时他才想起来
白天那名男子找他换现金的事。
遭遇“克隆微信”诈骗
让张先生百思不得其解的是,
那名男子用微信支付时
他明明看到的是自己的微信头像和昵称,
怎么就没有收到钱呢?
当天晚上他把这件事发到微信朋友圈,多个好友回复,称他们也碰到过类似的事情。
“我朋友说我碰到的是有技术含量的‘克隆微信’诈骗。骗子事先把另一个微信号改成我的个人信息, 用和我一样的微信头像和昵称,行骗时他们只要把微信账户上的钱转到之前设置好的那个微信号上,再给我看支付凭证。如果我当时察觉出来不对,骗子会以刚才网络不好为由,扫我的微信二维码支付。”张先生称。
民警提醒:到账及时查看
“微信支付等快捷支付方式给我们的日常生活带来许多便利,但也给骗子留下可乘之机。”市公安局民警赵警官提醒市民,对方微信支付时,一定要及时查看自己的手机,以资金实际到账为准 ,以防被骗。
如何避免?
定期变更微信头像昵称
骗子施展“障眼法”实施骗术,最根本的目的是要取信于受害人。商家定期更换头像和昵称,会有效降低因为相关信息“曝光”而为骗子所乘的概率。而且,建议商家在设置收款微信二维码时,尽量在收银台设置一部专门收款使用的手机 , 这样店主可以随时监看到款信息,还可避免因收款机主外出而造成的“到款查询时间差”漏洞。
登录验证码坚决不告人
盗窃受害人亲友的微信账号后,冒充亲友骗取信任,这也是骗子常用的伎俩。因此一旦有人进一步要求你告知其手机验证码时,就更要留心。这种情况往往是因为跟你对话的好友微信被盗,骗子用好友的微信骗取你的手机号和验证码之后,就能盗取你的微信。微信被盗后,微信支付、微信好友都将面临风险。
陌生二维码坚决不要扫
诈骗者以商品为诱饵,称给消费者返利或者便宜,发送的二维码实则木马病毒。利用这些二维码,诈骗分子会将手机木马病毒植入被害人手机并自动提取相关信息,短短几秒钟的时间,私人信息就已经传到他人手中。因此,陌生的二维码,切记盲目扫描, 以免造成意外损失。
●盘石头水库为淇河补水,淇河边游玩时一定要注意安全!
●刚刚,鹤壁市2019年普通高中录取分数线发布!
●快讯!2019年鹤壁市普通高中提前批录取分数线公布
●鹤壁街头几名男子暴力破坏公共自行车,被拘了!该~
来源:淇河晨报、华龙网
编辑:栗阳
总值班:陈鸿
想第一时间给我爆料?寻求帮助?
想第一时间知道我们的活动?
想和鹤壁新闻网小编们来个线下接触?
欢迎加樱花小编微信:hbxww0392
还可以进全民拍客-我在现场微信群
这里给你好看!
小编等你哦~
相关问答
二微码怎么复制到网站给别人 支付 ?把支付宝二维码发送给别人的具体操作步骤如下:1、打开手机支付宝,然后在页面右下角点击【我的】2、进入个人中心之后点击自己头像后面的箭头。3、然后在个...
怎么把自己在淘宝看中的衣服链接复制给朋友请朋友 支付 ?以下是把淘宝看中的衣服链接复制给朋友并请朋友支付的方法:1.在淘宝中选中想要购买的衣服,进入商品详情页面。2.在商品详情页面的右上角找到“分享”按钮...
手机 克隆 要付费吗?手机克隆不需要付费的,手机克隆就是通过软件把一个手机的信息复制到另一个手机上而已。手机克隆不需要付费的,手机克隆就是通过软件把一个手机的信息复制到另...
数字币常用的交易软件是什么?-其他理财知识问答-我爱卡[回答]下列是具体的操作步骤:用户首先要登录火币,然后选择“快捷买币”。接下来我们以购买BTC为例,买币的时候要输入购买金额,例如:买100,然后选择支付方...
京东手机连接怎么做自己的返利?.然后,在京东网站或手机APP上搜索并选择你想购买的手机。在确认购买前,你可以在返利网站上搜索京东的返利活动,并点击进入返利链接。通过返利链接进入京东...
电子 门禁卡复制方法?为账号...3、华为手机可以编辑卡片信息,点击保存就能成功复制门禁卡。需要注意的是,华为钱包添加和删除门钥匙时需要联网,但刷卡时无需联网,当前同一部手机最...
支付 宝付款二维码被复制怎么办?,有时效性的,很快就作废了,有时效性的,很快就作废了关了花呗,余额为零
中国银行充话费复制交易码怎么粘贴上去?如果您想在中国银行充话费时复制交易码并粘贴到相应的输入框中,可以按照以下步骤操作:1.复制交易码:在您的手机或电脑上,选中需要复制的交易码,长按或右键...
怎样申请 支付 令?1.以小米10手机为例进入支付宝主界面,点击下方的【消息】2.然后点击右上方的图标3.跳转页面后,再点击一下右上方的图标4.接下来,点击【我的吱口令】5...
realmenfc怎么复制地铁卡?realmeV115G手机NFC复制地铁卡的方法如下:打开钱包APP,点击页面中间的“钥匙”。在我的钥匙页面选择“智能卡”。进入智能卡页面,选择“添加智能卡”。...
