财务应用程序的安全隐患

关键要点

• 据研究，92%的650款金融应用中存在可提取数据，包括API密钥。
• 有近四分之一的泄露应用暴露了“极其敏感”的数据，如用于支付的身份验证密钥。
• 攻击者可以通过静态分析和运行时攻击两种方式窃取敏感信息。
• 仅5%的应用在运行时对抗设备环境操控有良好防御，4%对抗中间人攻击（MitM）的效果更差。
• 专家建议企业采取有效的API密钥管理措施，提升安全性。

根据的研究，92%的金融应用程序中存在可提取的数据，例如应用程序编程接口（API）密钥。该实验室通过逆向工程分析了650款美国、英国、法国和德国的金融服务类应用，成功提取了“高价值机密”。

研究方法与发现

在最佳测试条件下，研究人员使用多种开源取证和渗透测试工具，获得了敏感API数据。这些数据来自应用的静态分析和手机设备运行时的代码执行。该研究于周四发布，结果显示，在92%存在漏泄的应用中，近25%泄露了“极其敏感”的数据，例如用于交易和账户转账的身份验证密钥。

“即使密钥和秘密无法轻易从应用代码中逆向工程，黑客仍然可以通过操控应用、环境和/或通信通道，在运行时获得秘密，”研究人员这样写道。

漏洞的类型

根据研究报告，从移动应用中窃取秘密主要有两种方式：“第一种是静态分析，检查源代码及其他组件，以发现运行前暴露的秘密。第二种是在运行时，通过指令应用程序、修改环境，或通过中间人攻击（MitM）拦截应用与后端的消息。”

图片来源：Approov移动威胁实验室报告

除了暴露秘密外，扫描还发现了两种可能用于窃取API密钥的关键运行时攻击。仅有5%的应用程序对设备环境操控有良好的防御，只有4%的应用能有效防范中间人攻击，这种攻击方式让攻击者插入到用户之间获取通信数据。

中间人攻击的诱因

“中间人攻击之所以如此普遍，是因为多重身份验证和HTTPS等加密通道的流行，而中间人攻击可以轻易绕过这些保护，”Miracco解释道。

“中间人攻击已经存在多年，但由于越来越多的移动应用进行金融交易，以及不安全的机场Wi-
Fi网络，使用中间人攻击的动机增加了。人们习惯了以为采用多重身份验证就安全了，但实际上并非如此，他们对公共Wi-Fi网络过于信任。”

Miracco建议企业可以采取以下三步措施更有效地管理秘密和API密钥：

• 保护秘密： 不要将其放在代码中，因为混淆并不真正有效。
• 实施运行时保护： 这将防范中间人攻击和客户端环境操控，而这些通常只能在运行时被检测和阻止。
• 使用安全的云服务管理秘密： 只有在应用被认为安全的情况下，才“即时交付”秘密，并确保公司能立即阻止并更改被泄露的API密钥，而无需更新应用。

“安全团队最不希望看到的事情，就是必须推出一个新版本的应用，”Miracco表示。“用户使用不易受攻击的版本可能需要数月甚至数年的时间。”

Salt Security的首席技术官NickRago补充道，Approov的研究结果凸显了适当的API运行时保护和恶意API行为检测在企业API安全策略中的关键重要性。Rago指出，大多数移动应用依赖于API进行云或互联网服务器间的通信。这种通信通常使用静态、硬编码的管理员级或特权API密钥和秘密来保障。

“