证券行业中的移动应用安全分析

移动互联网的出现给各界带来了深远的影响，证券行业也带来了颠覆性的影响，目前，大多证券公司都开发了自己的移动应用，但是对于这种应用不能忽略的问题就是安全。

一、证券行业业务发展概述

随着技术的发展和移动终端的普及，证券移动业务自2012年以来迎来了快速发展。 证券移动应用基本涵盖信息，市场，开户，转账，财富管理等功能，成为证券企业与用户的重要接口..

目前，证券类移动应用面临着盗版软件，隐私泄露，用户密码被盗，修改数据等诸多风险，近些年，金融类移动技术应用被盗版、被破译、数据失窃的事件屡见不鲜。一旦中国移动互联网应用发展遭遇黑客攻击，将会给我国企业和用户可以带来直接的经济利益损失，移动终端的兴起也带来了新的挑战和零散的PC时代，包括手机安全性，兼容性等问题。在经历过几年的高速经济发展中国之后，证券类移动技术应用的功能在渐趋完善的同时也造成了企业同质化极其具有严重的问题。 面对这种现象，许多经纪人选择在技术上取得突破，以提高用户的使用粘度。

移动安全的必要性

随着网络技术和移动通信技术的普及，近年来中国移动互联网银行业务的快速发展，移动互联网已经吸引了人们的生活，人们的消费逐渐过渡到手机。各证券投资公司都相继推出了自有的移动技术应用提供服务，广大用户在享受便利的同时也处于移动网络安全的风险管理之中，对于证券行业加快互联网的核心业务和数字化转型的过程中的一个重要前提是网络安全防护，是指习近平总书记的讲话在网络与信息安全工作会议上，网络安全和信息技术有总体要求。安全是企业发展的前提，发展是安全的保障，安全和发展要同步进行推进， 要树立正确的网络安全观。加快构建关键信息基础设施安全保障体系，全方位感知网络安全态势，增强网络安全防御威慑能力..

证券行业移动应用安全风险分析

总体而言，Android平台应用程序的安全形势仍不容乐观，因为Android应用程序的安全问题频繁，影响范围广，程度深的，安卓应用的安全性和更重要;证券公司自行开发的移动应用程序，有没有专业的移动应用程序的安全支持，无法有效地保护移动应用的安全性。

近期，中国信通院发布了《移动互联网企业金融APP信息系统安全管理现状白皮书》，该白皮书抽取了88个互联网金融类移动技术应用App进行研究深入分析测试，发现了十大网络安全风险隐患。

通过明文服务器的通信信道的客户端数据终端的应用互动：1.在明文传输通信数据。

2. 通信系统数据可解密：客户端APP与服务器端交互的数据进行加密信息传输，但数据我们依然存在可以被解密。

3.敏感数据可本地破解：客户端APP存储敏感数据（如登录密码，手势密码等）.. ，或加密，但可以通过反向分析程序破解数据。

4.调试信息泄露：APP将帮助客户打印出发展这个信息时，通常包含敏感的参数，如纯文本消息的调试信息。

5. 敏感个人信息系统泄漏：客户端APP代码中泄漏敏感分析数据，如对称进行加密密钥，非对称加密中的私钥。认证可以使用的共享密钥，不应被暴露的后台数据库服务器资源管理公司地址等等。

6.滥用密码学：APP客户代码中使用不安全的密码系统中实现，例如，硬编码的固定对称加密，对称加密ECB模式，CBC模式IV固定的，不安全的非对称加密公钥等待。

7. 功能信息泄露：客户端APP中高管理权限的行为和功能（如发送一个短信，读取相关联系人等）没有被安全的保护。被其他无授权的应用系统程序进行调用或访问。

8.可二次打包：客户端APP后可修改代码，重新打包发布在市场上供用户下载。

9.调试：调试客户机APP可以是动态的提取，程序数据，并修改运行时逻辑。

10. 代码可逆向：客户端APP的逻辑关系能够被轻易可以获取和逆向，得到实现代码和程序中的敏感信息数据。

在这十大安全隐患，调查通过动态调整，代码注入，反编译，内容篡改，二次包装这五是风险最高级别的发现，它是最经常提到的各种移动安全论坛。结合我国证券市场行业，这些企业风险也极有可能影响导致网络交易APP被植入恶意应用程序后再传播，导致用户的密码或其它相关信息被盗。或者黑客可以利用漏洞攻入券商的移动服务端，或者客户被钓鱼而钱款被恶意转账等风险。

移动应用安全加固技术分析

1 防源码反编译

针对移动应用安全加固的发展，经历了四个阶段：代码混淆（一代加密)，整壳层(二代加密)，代码分离和动态加载(三代加密)，虚拟机保护(四代加密）..

1）代码混淆

其原理是通过基本上在代码去除调试信息代码混淆，无用类，方法和用于替换无意义的字符序列，所述方法名称和代码的类名流动的，以达到保护的目的混乱出来;它必须根据该方案降低了反编译代码，难度反向升级的可读性，但一直难以阻止动态调试，和饼干也可以通过从标线的类名称，方法名称的功能码读取，等等，然后反向突破，它是一代使用保护技术本身并不能取得实质性的保护与做的，但可以在IOS系统中使用。

2）整体加壳

整体加壳实现原理基本上是将dex文件整体加密，然后将密文打包保存其它目录下，修改AndroidManifest.xml配置文件将程序入口指向壳代码，程序启动后，由壳代码把加密后的dex交给类加载执行;由于程序在运行时，会将解密的代码连续释放在内存空间，所以不能有效的防范内存dump获取dex。

3）代码分离及动态加载

实现工作原理将代码中的方法名和方法体进行分析分离，对分离出的方法体进行信息加密并且Hook虚拟机的部分网络接口，在应用使用到企业具体研究方法时。对方法需要进行解密并动态加载执行;该方法是基于二代破解发展技术方面提出的，在一定程度上提高防范了内存的风险，但是由于部分破解者可以同时通过使用自定义手机等方式。获取我们所有方法的明文后对数据管理进行设计组装还原明文dex，虽然破解难度极大，但是仍存在一些理论上的可能性。

很多移应用都是第三应用开发，应用开发以业务为核心，同时为了保证应用的高可用性，需要通过严格的兼容性。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！