随着数字化转型和移动通信技术的飞速发展,移动应用软件(APP)已经深入到社会的各个领域,金融、能源、通信、交通、医疗、教育、互联网、媒体、娱乐、游戏等行业APP种类和数量呈爆发式增长。特别是5G、区块链、超级应用、人工智能、人脸识别等技术的深入应用,移动安全风险也呈现多样化的发展趋势。再加上个人隐私数据泄露、技术滥用等安全问题,迫切需要规范化管理移动应用的全生命周期。
据智研咨询发布的《2021-2027年中国移动应用行业市场专项调研及发展趋势分析报告》数据显示:2020年存在安全漏洞威胁的App有860万余个,同一App普遍存在多个漏洞。其中,存在日志数据泄露风险App数量最多,占总量的65.9%;其次是截屏攻击风险,占总量的62.39%;排在第三位的是URL硬编码风险,占总量的62%。
国家在此基础上也出台了多部法规及相关标准。国家顶层出台有《网络安全法》、《数据安全法》和《个人信息保护法》。相关部委监管单位出台有《关于开展App安全认证工作的公告》和《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》。相关技术标准出台有《GB/T 34975-2017 信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》、《GB/T 37729-2019 信息技术 智能移动终端应用软件(APP)技术要求》和《JR/T 0092-2019 移动金融客户端应用软件安全管理规范》。除了以上列举的部分法规标准外,本文不再对移动互联网数据安全和发展趋势进行赘述,重点对《JR/T 0240-2021 证券期货业移动互联网应用程序安全检测规范》做出解读。
据中国证券登记结算有责任公司统计,截止2021年末投资者数为19,740.85万,其中自然人占比超过99%。在移动互联网的冲击下,证券公司的传统业务向数字化转型的趋势在逐步加快,目前据不完全统计,证券交易中网上交易占交易量的比重超过95%,超过80%的经济业务通过移动端完成。APP已经成为证券期货行业提供信息服务的重要载体。结合上文提到的APP安全漏洞影响,在此基础上证监会于2021年底发布了《JR/T 0240-2021 证券期货业移动互联网应用程序安全检测规范》(以下简称“规范”)。
规范适用于证券期货行业中的检测服务机构、运营使用单位、应用开发商等对移动应用进行安全测试评估。但规范仅给出了技术要求和检测方法,对于具体的实现方式不做规定。全文共分五个章节,除了前述的范围、引用文件和术语定义外,核心内容强调:移动应用的总体检测要求、检测要求及检测方式。文末附录A类检测项和B类检测项统计表格式。
本文对第一章范围、第二章规范性引用文件、第三章术语和定义不再展开描述。因篇幅限制本文仅选第四章节每个子章节的某条条款进行解读展示,想要了解全文解读,请联系绿盟科技金融事业部。
4.1章节将程序类型划为五类,分别是办公类、信息披露类、业务办理类、交易类、其他参与机构的非交易办公类。检测范围包括客户端部分和服务端的核心安全内容。
4.2章节检测框架规定先按附录A检测项和B类检测项要求确认检测项,再通过工具扫描、配置核查、人员访谈等方式输出结果。
4.3章节检测过程规定被测单位提供应用程度及开发设计文档,由检测人员进行技术检测、人员访谈后出具结果。
4.4章节检测方法规定了三种,分别是人员访谈、工具扫描、配置核查。在这里注意配置核查就是人工参考工具扫描结果进行技术测试和验证活动,可以理解为配置核查包括了对移动应用的渗透测试。
4.5章节规定了A类和B类检测项不同的检测要求。设置不同类别主要是不同类别的应用使用不同的检测项要求执行。例如交易类、业务办理类的遵照A类和B类检测项要求执行;办公类、信息披露类、其他参与机构发布的非交易业务办理类的遵照A类检测项要求执行;若某应用同属于多类别,就高执行。关于A类和B类的定义可参考附录A。
本文结合规范的检测目的、流程、通过要求,给出了检查对象、检查实施方法和预期结果。
(1)应用程序保护,包括防逆向、安全接口、输入保护、输入校验、外部资源授权、授权提示、完整性校验、异常处理。
示例:防逆向检查实施方法。使用jadex反编译查看能否恢复代码;判断是否加壳例如查看安装包目录下main/AndroidManifest.xml文件中Activity名,反编译目录下是否存在这个Activity名;代码是否经过混淆例如使用a、b、c、d这样简短而无意义的名称,对类、字段和方法进行重命名。如果符合预期,测试就不能恢复源代码;反编译目录下不存在Activity名则说明有加壳措施;代码使用了无意义的名称对代码进行混淆。
(2)移动终端环境,包括运行环境安全、进程保护、异常监测。
示例:进程保护。使用xposed、frida等常见框架注入进程,查看app是否可以正常运行。如果符合预期,测试使用xposed、frida等常见框架进行注入时,app无法正常运行。
(3)安装与卸载,包括安装确认、剩余信息保护、系统安全。
示例:剩余信息保护。卸载程序客户端后查看/data/data/packagename/ 目录下和/sdcard/Android/data/packagename/ 目录下文件,查看缓存的数据是否完全删除。如果符合预期,卸载程序客户端后,缓存数据可以完全删除
(4)升级与更新,包括完整性校验、更新推送、强制更新。
示例:完整性校验。抓包检测更新的数据包,尝试将服务器返回的更新url替换为恶意链接,看客户端是否会直接打开此链接并下载应用。如果符合预期不会下载修改后的链接内容。
(1)鉴别方式,包括二次认证、用户登记、登录失败处理、登录超时。
示例:二次认证。使用app初次认证后,查看资金类交易、客户信息修改关键业务处是否需要二次认证,且是否可以只使用存放在手机上的信息(例如身份证照片、个人照片等)通过认证。如果符合预期,关键业务有二次认证,同时使用了密码、短信、人脸识别等方式进行认证。
(2)鉴别数据保护,包括授权保护、用户提醒、身份绑定。
示例:身份绑定。使用app身份认证功能,查看进行身份认证时是否需要验证其他信息。例如:使用身份证认证时,是否采取验证认证人名字、人脸识别等措施;尝试使用一个用户身份信息查看是否可以认证多个账号。如果符合预期,认证时验证身份证号的同时会采取验证认证人名字、人脸识别等措施。且一个身份信息只能认证一个账号。
(3)密码安全,包括存储安全、传输安全、残留信息保护、安全输入、密码显示、密码复杂度、密码修改。
示例:残留信息保护。执行adb logcat命令查看APP输出的日志信息,是否有密码和秘钥信息。如果符合预期,不会输出密码和秘钥信息。
(1)通讯协议,包括安全协议、安全版本、密码安全。
示例:安全版本。使用openssl,指定域名和端口,查看SSL连接的类型和版本是否采用安全通讯协议版本。如果符合预期,采用安全通讯协议版本。
(2)会话管理,包括缓存信息保护、安全提示、会话鉴别、会话保护、会话终止、会话超时、并发限制。
示例:会话保护。检查通信过程中能否抓取数据包,查看是否有对数据包合法性进行校验的字段,是否有随机生成的token来防止数据包被重放。如果符合预期,采取了保护措施,则无法抓取数据包,有数据包合法性进行校验的字段,有随机生成的token来防止数据包被重放。
示例:安全通道。抓包查看通信过程是否经过第三方的服务器且是否使用安全的加密通道(https)。如果符合预期,经过第三方服务器的通信使用了https安全的加密通道。
示例:页面返回保护。进入涉及敏感数据显示和处理的页面,输入敏感数据后通过切到其它页面、切到后台等方式重新进入该页面,已经输入的检查敏感数据是否自动清除。如果符合预期,输入的敏感数据在切换页面后,重新返回该页面,敏感数据自动清除。
(2)数据存储,包括敏感信息存储、客户信息保护、敏感信息保护。
示例:客户信息保护。检查app卸载后,查看移动终端/data/data/packagename/ 目录下和/sdcard/Android/data/packagename/ 目录下文件中是否仍有客户信息残留。如果符合预期,移动终端中没有客户信息残留。
示例:检查是否有安全需求文档。如果符合预期,针对移动应用设计,具备完善的有安全需求文档。
(2)安全开发,包括安全编码、安全插件、安全逻辑。
示例:安全插件。检查移动互联网应用程序中的第三方插件(sdk)和第三方开发工具(IDEA)是否具有安全测试报告或证书。如果符合预期,第三方插件和开发工具有国家或相关部门认可的安全测试报告或证书。
示例:功能测试。检查是否提供安全功能操作和安全功能测试文档,是否与移动互联网应用程序的实际情况保持一致。如果符合预期,两者应当保持保持一致。
(4)安全发布,包括测试数据、证书签名、上线发布。
示例:证书签名。使用JDK中的jarsigner.exe检查安装包的签名证书是否正确,询问管理员签名证书是否由专门岗位管理。如果符合预期,签名证书应标识了应用程序的发布者,且由专门岗位管理。
(1)日志生成,包括日志内容、操作日志、调试日志。
示例:调试日志。使用adb logcat查看产生的日志记录,查找是否产生开发过程中的调试日志。如果符合预期,不会产生开发调试过程中的日志。
(2)日志管理,包括日志存储、日志访问、日志查询、敏感日志保护、存储位置、保存时间。
示例:保存时间。在服务端查看最早记录的日志时间,查看保存时间是否不少于十二个月。如果符合预期,日志保存时间不少于十二个月。
示例:依据《APP违法违规收集使用个人信息行为认定方法》,通过管理和技术手段,检测移动互联网应用程序是否完全满足个人信息保护要求。如果符合预期,评估结果应当满足个人信息保护行为认定方法。
此表基于章节五的内容进行了划分,上述解读内容中的分类、子分类均概括在内,A类与B类互补。相关应用遵照A类或A+B类标准执行。
规范从移动应用的检测流程,检测要求给出了具体的落地指导方法。规范的制定实施,将统一增强行业对移动互联网应用程序的安全要求,提高移动互联网应用程序的安全性,增强行业机构移动业务信息安全能力,有效防范相关安全风险。
绿盟科技将结合本规范,利用更完善的检测手段,为终端用户提供高效、稳定、优质的服务。
微信公众号:nsfocusfbd ![证券期货业移动互联网应用程序安全检测规范解读]( "证券期货业移动互联网应用程序安全检测规范解读")
原文始发于微信公众号(绿盟科技金融事业部):证券期货业移动互联网应用程序安全检测规范解读
评论