從webview看移動支付風險,再談APP應用克隆幾點思考
1月9日,騰訊玄武實驗室的一場「低調」發布會成為了近期業界乃至社會大眾討論的熱點。發布會通過安卓手機與APP應用間多個已知漏洞,無需植入任何木馬或惡意代碼,「隨機」組合多個安卓系統漏洞便完美呈現了一場針對支付寶支付的遠程攻擊,一時間業界輿論一片嘩然。筆者針對這一巨頭間司空見慣的攻訐並無意做過多評價,況且相信以二者的技術實力,這樣「禿子頭頂上的虱子」般的漏洞們早就在發布前便完成了修復,不然也不會在舊版應用上演示完成。
然而,就技術實現而言,DPLS Lab作為信息安全獨立第三方實驗室中的一員,針對目前所有在媒體和官方渠道上所公開的漏洞信息和技術細節,筆者結合自身多年從事支付安全研究的淺薄見解,還是做了一番深入思考,就此形成的所謂的可能結論,還是產生了些許不安:這一由於系統漏洞通過簡訊傳播方式實現的針對二維碼支付的遠程攻擊方式,還會影響多少無硬體保護的軟體APP移動支付方式?
第一、簡訊傳播,點擊中招。回述發布會中的攻擊過程,我們看到這一攻擊過程的起點源自於被攻擊者(用戶)點擊了收到簡訊中的搶紅包引誘鏈接,雖然其最終呈現在手機上的是看似「正常」的搶紅包界面,但殊不知其所使用的被攻擊目標APP已經通過惡意代碼並結合安卓系統漏洞將用戶合法登錄憑證等敏感信息連同配置文件等等一併傳回了攻擊者的手機上,藉助這些文件和信息攻擊者無需二次登錄和校驗,便可以方便的使用目標APP進行任意消費和交易,整個過程一氣呵成毫無違和感。然而攻擊者究竟使用了什麼方法,使得原本無懈可擊的支付應用被輕鬆攻破?
一番探究後,筆者發現其針對目標APP成功實施攻擊兩個最重要前提是:
其一、為了更好的用戶體驗感,包括安卓操作系統在內的智能手機廠商和系統開發方為便於用戶新舊手機切換時原有數據、文件、APP和配置信息等等用戶個人化數據的迅速遷移,紛紛在其操作系統中預留了此類用戶個人化數據自動遷移的類「應用克隆」介面(現在看來已成為系統漏洞)。
有了以上兩個前提,黑客們結合自己對於惡意鏈接傳播的嫻熟技巧與用戶們或是好奇或是佔便宜的心態相結合,一次完美的攻擊便可以一蹴而成。而本次攻擊的實施過程中的技術細節可籠統的理解為:此類攻擊的目標多為通過登錄賬戶進行保護的APP,當用戶收到惡意簡訊後,點擊非法鏈接(URL)喚醒支付應用APP,存在上述WebView漏洞的APP運行過程中所產生的的敏感數據和隱私文件(包括用戶賬戶登錄憑證等)被通過鏈接載入的外部可控HTML文件非法跨域file訪問,並被傳輸到指定遠端伺服器,從而實現「應用克隆」攻擊。
第二、二維碼掃碼直接中招。值得注意的是,如果希望上述攻擊過程如數實現,除了技術化的漏洞切實存在於設計「不明智」的APP以外,無風險防範意識的用戶操作也是其必要條件之一。但是,中國的廣大用戶接觸互聯網及其周邊產品已經超過30年,移動互聯網趨勢下國內日益增多的電信詐騙手段和屢見不鮮的案例通過媒體的不斷曝光早已司空見慣,相信如果不是設計精妙,一個普通用戶在對莫名簡訊產生信任感之前,冒然的對簡訊中的未知鏈接進行點擊,恐怕這樣的行為在當下應該不會成為大概率事件。
然而筆者仔細回想了攻擊過程中的每一個細節,區別於以往電信詐騙、釣魚網站、「李鬼」應用攻擊手段的不同,此次黑客並未使用任何傳統的木馬病毒,攻擊僅僅是通過針對存在於安卓操作系統和APP中的各個漏洞進行有機組合後,簡單利用客戶好奇心態神不知鬼不覺的完成了應用克隆攻擊,而全部的交互過程僅僅停留在用戶需要「配合」點擊簡訊中的鏈接這一小概率操作即可。反覆思考後筆者不禁發現,還有一個被遺漏的重點:針對存在漏洞APP的攻擊是源自於用戶冒然點擊簡訊中的非法鏈接,從而促使安卓操作系統通過URL激活被攻擊目標APP後完成的。然而URL的傳輸除了通過簡訊直接發送以外,還有一個更為直接且應用廣泛的方式,那就是掃描二維碼。無論是下載APP、電子支付、各類門票應用、商品溯源、點餐下單、公交購票、二維碼導遊等等,移動互聯網浪潮下,二維碼已然成為線下到線上的入口,每天我們身邊圍繞著各種各樣的二維碼應用,而這些二維碼所傳輸的大多都是URL鏈接,而用戶通過各種掃描APP軟體通過這些入口激活更多的APP從而接入各種服務。
如此看來事情似乎要比之前分析的嚴重一些了,筆者作為一個有較強信息安全風險意識的普通消費者,也許可以對於各種簡訊、微信、郵件、網頁中傳遞而來的未知鏈接心存芥蒂,可現如今的移動互聯網世界中要筆者在日常生活中拒接掃描二維碼,亦或是面對看起來「長得都很像」二維碼URL掃描前加以甄別,這恐怕絕非易事。難不成掃碼前先要啟動某個手機殺毒軟體先行驗看一番嗎?雖然面對兩大互聯網巨頭企業的應用此類漏洞早已封堵,可畢竟擁有掃描功能的APP可絕非僅此二者而已,反觀網上各類分析文章與公關稿件中,似乎也有不少作者意識到了此類衍生風險,然而應對之法除了教育用戶及時更新APP以外,就只是草草丟下一句「切勿隨意掃描不太確定的二維碼」,可這「不太確定」又該讓普通用戶如何界定呢?畢竟生活中許多場景下掃描二維碼已然成為一種默認的習慣,用戶具有天然的習慣養成感和信任感,尤其當它與支付方式相連接後。
第三、實現移動支付遠程攻擊,無需root或竊取手持終端。基於手機所興起的移動支付,在經歷了幾年的飛速發展之後,已然成為勢不可擋的大勢,從二維碼到雲閃付,從HCE到NFC,幾年時間一個個原本生僻的技術專業辭彙,已經成為家喻戶曉、老少皆知的支付新方式。也正因為此,人們的生活連同支付方式發生了很多翻天覆地的變化。從貨幣交易到基於銀行卡交易,中國老百姓的消費習慣用了十幾年才完成支付電子化的改造,然而從卡片支付到無卡支付,再到移動支付,這一切的變化卻發生在這短短几年之間。
回顧這幾年間電子支付手段的變遷,筆者作為親歷者,可謂感觸良多。簡單回顧這一里程,筆者卓見可大體分為以下五個階段:
【第一階段】磁條卡興起,電子化支付替代紙幣交易。這一進程大多開始於改革開放後,隨著存摺的逐漸消失,磁條卡成為銀行主要發行的賬戶載體和電子支付的主要手段。然而磁條卡缺少加密機制使其在交易中極易被偽造。
【第二階段】IC卡遷移,銀聯搭建電子支付基礎設施。2002年,隨著我國自有支付卡組織銀聯的成立,電子支付受理環境得到了顯著的改善,隨之而來的銀行卡IC化遷移,更是極大的改善了用戶在日常電子支付中安全性與便利性。
【第三階段】智能手機興起,移動支付技術群雄逐鹿。2011年,隨著當時的智能手機巨頭與銀聯合作的首款基於SD卡的NFC移動支付手機的發布,藉助IC卡與智能手機融合的移動支付風潮正式到來,一時間SIM卡、SD卡、手機殼、貼片卡、嵌入式SE、HCE等各項面向智能手機的移動支付改良方案紛紛在市場中出現,百花齊放。
【第四階段】二維碼支付出現,互聯網巨頭追捧。同樣是在2011年,由互聯網巨頭企業支付寶推出的二維碼支付技術,也加入到了移動支付的技術浪潮中,依託於便捷操作和純軟體輕量化部署等先天優勢,最終在經歷種種爭議後逐漸被包括微信在內的眾多互聯網企業所推崇,並最終獲得監管層認可,成為線下支付的重要補充部分。
【第五階段】ApplePay入華,NFC三分天下。2016年,智能手機巨頭蘋果公司看準中國市場良好的非接觸式IC卡受理環境,攜NFC支付技術進入中國聯合銀聯共同推廣基於嵌入式SE晶元的所謂安全移動支付技術,並很快獲得所有手機廠商的跟進,至此銀行卡、二維碼、NFC三大技術在中國電子支付市場三分天下。
然而,一直以來,電子支付尤其是移動支付技術,在給用戶帶來前所未有的便利體驗同時,其支付安全性一直是一個備受矚目的話題。首先有來自監管層的壓力,畢竟金融安全關係國計民生;而作為技術踐行者的金融機構、互聯網企業和設備廠商更是首當其衝責無旁貸,無不使勁渾身解數讓其支付技術越來越複雜,越來越安全,上述五個技術發展階段變可見一斑;更重要的是來自廣大用戶的關注,畢竟誰丟了錢都不會善罷甘休。筆者還記著早年間與一位著名手機品牌的支付項目經理對話時,曾不厭其煩的闡述支付安全重要性的上述觀點,無奈卻被反諷道:用戶的錢,放在錢包里尚可丟的,怎麼放在我手機電子錢包內卻丟不得了?可嘆這浮躁社會下逐利者的無知與無畏,一招失算讓這家企業在移動支付上起個大早卻趕了晚集,至今表現低迷。
隨著技術的日新月異,針對各類移動支付方式的惡意攻擊手段也層出不窮,或爭名或逐利其後每年的黑客大會和媒體報道中,都會見到有移動支付技術中招的新聞。為了更好的完善移動支付技術的安全性,增加攻擊者的難度,智能手機廠商、互聯網企業以及金融機構紛紛對原本依賴在用戶名和密碼保護的賬戶支付體系中,不斷融入新的技術手段,以提高支付安全性門檻。總結來看無外乎雲端不斷完善的風控機制和隨時更新的漏洞庫,管道端日益增強的端到端加密體系的運用和結合令牌Token技術等的創新應用,終端啟用生物識別技術喚醒和增加硬體可信根等。其後黑客們發現在重重保護下移動支付似乎並非那麼輕易可被破解,即便最新暴露的針對指紋支付和智能POS機的攻擊案例,黑客最大的難點來自於需要首先可以接觸到用戶的手機或POS機,從而才能達成指紋破解或取得root許可權,而其後的攻擊實施更多只是炫技,並無太多實操。更多技術細節可點擊:指紋攻擊。
而這一次的攻擊方法,讓筆者後怕的是:攻擊過程從遠程發起,通過簡訊或二維碼傳輸,攻擊者全程可無需接觸手機,更無需取得Root許可權。換而言之,此類攻擊完全具備實操可行性,且易於復現與傳播,更可怕的是眾多具備掃描功能APP開發者並無短平快的破敵良方,甚至無所警覺,更不必說每天樂此不疲的廣大掃碼用戶。
第四、現行標準尚待完善。攻擊視頻發出後,網路上很多技術流的評論其實紛紛給出了簡單的修改建議,如封堵WebView漏洞、每交易上送「IMEI」或硬體指紋信息、增加隨機密鑰或動態驗證機制以及APP執行交易前對其運行時環境進行掃碼等等。筆者也第一時間就以上的漏洞和補救措施,與信息安全、支付安全行業內多家檢測實驗室、技術工程師、標準制定專家等進行溝通,基本得到相應的技術肯定。然而一番熱烈討論過後,當話題聚焦到:現行國內外眾多移動支付技術標準和安全標準(如CC、EMV等)中針對此類漏洞可否存在防護要求或技術實現要求,大家往往無法立即給出積極答覆。單單是談到現行結合Token技術實現的二維碼、HCE等純軟體支付技術手段中,針對上送報文中是否有「模擬卡」手機端「IMEI」或硬體指紋信息上送並校驗要求時,得到的答案大多模稜兩可。筆者匆匆查詢了相關國際技術標準,發現標準中針對報文有要求的技術標準本身就不多,而提及終端信息上送的僅局限於受理POS終端,而對於模擬卡的手機似乎並不明確;而對國際相關安全標準研究後,筆者慶幸是在其針對使用在移動支付場景中的APP軟體安全要求中,確實提及了相關運行時安全的檢查要求。隨後,筆者結合信息安全領域內全球使用最廣泛的Common Criteria標準,針對此次黑客攻擊進行了「純屬娛樂」的模擬實驗室攻擊評分,結果如下:
可見純軟體實現的支付技術其安全級別並不理想(僅供把玩)。
第五、二維碼支付、HCE、共享、交通應用。最後,說一些題外話,二維碼、HCE、NFC僅僅是實現移動支付的不同技術手段,雖安全性不盡相同,但其實施成本也成正比。在追求體驗的商業氛圍推動下,二維碼技術不僅用於互聯網公司的支付應用APP,眾多商業銀行如今也在各自的網銀中添加了此類功能,以滿足客戶更多的需求,且不說還有現在風頭正緊的交通領域應用和掃碼共享經濟的興起。在筆者看來追求用戶體驗和安全的技術道路上二者只有相互平衡才能真正勝任不同風險威脅下的多樣應用場景,切不可顧此失彼。
TAG:移動支付網 |