梆梆安全移动应用开发手札之保护双因子认证体系

   北京 2014-11-14(商业电讯)－－

    现在人们经常会收到这样一类短信，里面通常会写着“您的验证码为：******，请在半小时内使用”，其中的“*”号一般是6位的数字。没错，这就是大名鼎鼎的短信验证码。如今，人们在进行网上账号登录、金融交易时除了要输入账号密码外，还要输入系统即时发送到用户手机上的短信验证码，由此形成了双因子认证保护体系。 

    现在每当人们要修改或者重置网络帐号密码、进行在线交易需要网银转账、帐号出现异常操作时，往往都需要通过短信验证码进行身份验证、操作验证，确认后才能进行后继动作，甚至有些网银的在线支付仅仅需要“账号+短信验证码”即可完成，由此可见短信验证码的重要性。在移动终端双因子验证也是主要的身份验证形式，被许多移动应用广为采用。 

    而恶意攻击者则试图通过劫持短信验证码的方式来破坏双因子验证保护体系。据梆梆移动安全实验室统计，目前各种拦截短信验证码的病毒已经超过4000多种。这类拦截和窃取短信验证码的病毒主要拦截各大银行的短信验证码，只要用户短信里出现“交易”、 “账号”、“96***” 、“95***” 、“100**”等关键词时，就会进行拦截并转发给恶意攻击者。近年来，许多网上银行被盗案件就是由于验证短信被劫持所导致。短信验证码这个曾被认为很安全的验证机制面临严峻挑战。 

    实际上细心的用户可能早就发现了一些端倪——很多移动应用在安装到用户手机上时都要求获得短信读取等过度优先的手机系统权限，一旦这些应用被恶意攻击者利用，用户的所有短信都可能被泄露、窃取。梆梆移动安全实验室通过对几百款知名应用进行安全审计发现，超过7成的应用都存在权限越界的特点。另外，短信验证码都是明文发送给用户，这使得恶意攻击者在窃取短信后即可很容易的识别使用验证码。

    梆梆安全专家表示，由于Android系统的开放性，通过申请提权，就可以获得更高权限或者优先级。本质上，许多拦截和转发验证短信的病毒都是通过向系统申请获得了更高的权限，从而能劫持验证短信实施诈骗。针对于此，梆梆安全推出了防验证短信劫持插件SSP(Security SMS Protection)。 

    防验证短信劫持插件SSP可以帮助第三方业务系统在用户发起验证、支付等请求后，发送加密后的认证短信，并通过专有SDK插件进行解密，防止短信验证码恶意程序劫持等行为，保护短信认证过程安全。对于短信验证码明文内容所存在的风险，短信验证码防劫持插件SSP进行了高强度加密处理, 使得恶意攻击者无法识别加密后的短信验证码内容。 

    梆梆安全防验证短信劫持插件SSP利用随机密码、高级加密算法、手势安全密码等对验证短信内容进行多重高强度加密。而加密密钥则通过分段打散的方式存储在so包中，并对so包进行加壳保护，形成双重防护。解密后验证码会以图片方式显示。SSP整体上基于CS架构进行加解密，而且相关密钥会定期根据服务器安全策略变化进行更新。 

    另外，梆梆安全还在防验证短信劫持插件SSP的基础上对APP进行加固，形成第三重保护。对客户端进行安全加固，防止账号劫持、账号窃取、截屏等多种攻击，保护“账号密码+短信验证”的双重验证机制，形成第四重保护。用清场杀毒引擎对拦截恶意短信的病毒进行查杀，形成第五重保护。 

    如果用户手机丢失了也不用担心，只有成功初始化的客户端才能正常解密安全短信验证码。通过初始化设定手势密码，能够阻止攻击者进入SSP客户端。另外对首次与非首次初始化进行判定，可以阻止攻击者通过卸载后重装的方式重置密码。 

    梆梆安全防验证短信劫持插件SSP有手机短信护盾(独立APP客户端)和手机短信保护SDK两种产品。其对第三方业务系统不需要做较大改动，而且也基本不需要修改已有业务流程，即可实现高强度加密。而且加解密过程对用户完全透明，无需任何输入操作。移动应用开发者只需要以SDK的方式对SSP进行集成，即可有效保护其APP的双因子认证体系。 

    PS：对梆梆安全的防验证短信劫持插件SSP感兴趣的开发者朋友们可以前往http://bangcle.com/solution/sdk-center/这里下载，免费使用。