2000P's Blog

最初のページ

モバイル金融業務アウトソーシング開発における情報セキュリティリスクについて

著者 doorn 時間 2020-03-15
all

【前言:繁栄の下の憂い】

モバイルインターネット時代の到来に伴い、モバイル金融業務の発展に力を入れ、従来サービスに対する代替率を高めつつあることは、商業銀行などの伝統的な金融機関の重要な戦略となっている。従来の金融機関自体は、モバイル分野での技術的な備蓄が足りない場合、急速に高い水準を占めるために、システムをアウトソーシングすることを選択する傾向があります。

モバイルバンキングシステムを例にとって、関連業務を開通した国有商業銀行、全国的な株式制商業銀行、都市商業銀行の80%以上がオフショア開発です。アウトソーシングの導入はモバイル金融の革新のステップを推進し、WAP携帯銀行、ショートメール銀行、APP携帯銀行、WeChat銀行などのシリーズ製品を快速に作り、ユーザーに豊富なモバイル金融サービスを提供しました。

注意が必要なのは、まだインターネットの安全経験がない商業銀行は、モバイル金融の世界でも新たな巨大なブラック市場を生み出しているということを十分に認識していません。

    オフショア開発のモバイル金融応用は安全性の面で大きな潜在的なリスクがあります。筆者は長年の安全企業での経験から見て、オフショア開発の開発者のレベルはまちまちです。ほとんどのオフショア開発者は安全面での技能と意識はほとんど無視できます。交付のシステムと言えば。

過去数年間、業界の多くの安全チームはすでにモバイル金融、特にモバイル銀行の安全研究に着手しました。事実によって、私たちが見ている安全の現状は想像以上にひどいです。今年の業界のいくつかの安全会議では、筆者もいくつかのバグ事例とテスト結果を共有しました。今、私はいくつかのオフショア管理の中の典型的な安全問題を文章にまとめて、業界の参考にします。同時にレンガを投げて玉を引く役割を果たしたいです。業界の大牛たちに教えてもらいます。

【判例1:グラフィカル検証コード論理の裏口は、大量のユーザーアカウントを盗み取られる可能性がある】

ケース概要

Y会社はすでに発売された情報科学技術会社で、国内の多くの商業銀行はその顧客です。私たちはY会社のモバイル銀行の製品を分析していますが、製品のグラフィックス検証コード機構には論理的な裏口があり、この欠陥を利用して大量のユーザーアカウントを盗むことができます。アウトソーシングチームのコード多重化のため、私達はすでに少なくとも2つの商業銀行のモバイル銀行システムの中でこの安全問題を再現しました。

詳細に分析する

クライアントの登録ロジックを見に来ましたが、ちょっとおかしいものがあります。

詳しく分析してください。これはログイン時にグラフィックス認証コードを入力する機能です。開発者は何かの必要があったら、ここに万能認証コードを残しました。正常なユーザ登録は、認証コード入力の不正のように、システムが対応するメッセージを与えます。

私たちが予備の万能認証コードを使うと状況が違ってきます。下の図のように、システムはログイン認証コードのエラーを提示していません。直接にアカウントのパスワードを検証しました。

   

この欠陥を利用して、私達はこの商業銀行の所在地のユーザーに対して大規模な口座番号の暴力的な解読攻撃を行うことができます。一般的に、ほとんどのユーザーはモバイルバンキングのパスワードを6桁の数字に設定することに慣れています。また、照会パスワードと取引パスワードも大きな確率で同じに設定されています。攻撃者はこの地域の携帯電話番号の範囲を検索してログインユーザ名とし、6桁の数字からなる暗号辞書で暴力的に解読し、数十万のモバイル銀行の口座情報が手に入る。

【ケース2:デバッグインターフェースが閉じられていないため、ユーザの敏感情報が漏れてしまう】

1、判例概要

H会社は上場の科学技術会社であり、その金融取引先は全国に分布しています。H会社のモバイル銀行の方案を採用する取引先は少なくとも二つの全国的株式制商業銀行と複数の都市商業銀行を含みます。H社のモバイル銀行の製品の安全性を分析したところ、サービス端末のデバッグインターフェースをオフにしていないことが分かりました。このような問題はよく見られます。オフショア開発が完了した後のオンラインプロセスのミスによるものです。実際にはAndroidクライアントがロゴcatを通じてデバッグ情報を出力する問題がもっと多いです。

2、詳しく分析する

モバイル銀行は電子銀行のルートとして、銀行のコアシステムと対話する必要があります。H会社の開発チームは開発と調整を容易にするために、携帯電話の銀行のサービスコードの中でデバッグインターフェースを開放します。このデバッグインターフェースは、図5に示すように、ユーザが振替した詳細情報をウェブディレクトリのtest.logファイルに出力します。攻撃者はブラウザを通じて直接このlogsファイルにアクセスできます。このシステムの各振替取引はすべてその中に記録されています。その中から大量のユーザーアカウント、携帯番号、カード番号、取引パスワードなどの情報が得られます。

このケースは、シートリップがユーザーのクレジットカードの情報を漏らすセキュリティイベントを思い出させますか?はい、同じように金融業界でこのような安全な事件は一般的にあまり露出されていません。

【ケース3:ベンダが浸透してコードとクライアント署名証明書が漏れた】

1、判例概要

国内のある脆弱性プラットフォームで、ある大手国有銀行のモバイル銀行iosクライアントにtxtファイルが存在し、ファイルにsvnサーバのipアドレスとユーザ名とパスワードが格納されています。ハッカーはこのファイルを解凍して情報を取得した後、直接に接続して、ckoutサーバ上のファイルをチェックすることができます。

2、詳しく分析する

この抜け穴はプラットフォームに公開された後の長い間完全に修復されていません。露出されてから数ヶ月間、このsvnサーバーは漏洩した口座のパスワードを修正していません。インターネットのアクセスを遮断していません。私達は分析した結果、このサーバーはオフショア開発会社のLです。L社は銀行にモバイルバンキングの全面的な解決策と携帯電話の決済ソリューションを提供するハイテク企業と称し、お客様は全国に分布しています。

このsvnサーバに格納されている内容は想像を絶するもので、国有銀行モバイル銀行システムの全項目文書、完全なAndroidとIOSクライアントコード、さらにクライアント署名用のデジタル証明書まで保存されている。下図は当時露出されていた部分のデータのスクリーンショットです。これらのデータ情報を利用して、黒産業者は当該銀行の合法的な署名を持つ移動銀行の木馬を開発し、インターネット資源を利用してウェブサイト、フォーラム、または偽基地局などのルートをダウンロードして伝播することができます。

 

【結語:道が長くて、その修遠】

紙面の制限のため、筆者が述べた三つの例はいくつかの側面からオフショア開発に存在するリスクを明らかにしただけである。今後も、金融機関はアウトソーシング会社の力を借りて、モバイル金融業務プラットフォームを急速に建設し、アップグレードするはずです。筆者も業務優先の原則に賛同しています。業務の停滞や後退が最大の安全リスクです。

しかし、モバイル金融は結局ユーザーの個人のプライバシーと資金の安全に関わるので、金融機関はオフショア開発の過程で次のような情報セキュリティリスクに注目することを提案します。

1.外注会社自身の安全管理レベルが低く、安全運行と維持能力が不足しているため、文書、コード、署名証明書などの重要な情報資産のリークを引き起こします。

2.アウトソーシング会社の社員の安全技能と安全意識が不足しています。開発されたコードには常に各種類のセキュリティホールが存在します。例えば、サービス端末の任意のファイルダウンロード、SQL注入、クライアントコンポーネントの漏れと敏感情報の漏えいなどがよくあります。

3.オフショア開発の管理プロセスが不正規で、生産時にサービスエンドまたはクライアントのデバッグインターフェースを閉鎖していないと、ハッカーに利用されると計り知れない損失をもたらす。

4.オフショア開発者は故意に論理的な裏口などを残しています。

以上のリスクに対して、金融機関は次のような安全管理措置を強化することを提案します。

1.アウトソーシング先を選ぶ時、その安全管理と安全運行状況を評価します。

2.オフショア開発の管理プロセスを規範化し、金融機関の人員も開発過程に深く参与して全過程の管理を行うべきである。

3.オフショア開発者に対する安全意識と技能訓練を強化し、コードの脆弱性などをプロジェクトの評価要素とする。

4.外注開発のコードに対して安全監査を行い、特に登録、振替などの重要な業務シーンに重点監査を必要とする。

5.移動金融業務システムに対する安全テストメカニズムを確立し、安全テスト方法、テストケースを改善し、生産前に厳格な安全テストを行い、オンラインに行ってから周期的なテストを行う。

6.異常取引に対する監視と分析を強化する。

最後に小さい広告を打って、ふだんインターネットの金融の安全な研究に対して除いて、テンセントの安全なプラットフォーム部もインターネットの金融の安全の方面の持ち場を募集して、インターネットの金融の安全に従事する学友を歓迎して私達に参加します。私たちの公式ブログでは関連情報を発表しています。見つけられると信じています。