H5客户隐私数据泄漏

案例一:XX金融MITM漏洞
XX金融由于证书校验有缺陷,导致https中间人攻击,攻击者直接可以获取到会话中敏感数据的加密秘钥,另外由于APP没有做应用加固或混淆,因此可以轻松分析出解密算法,利用获取到的key解密敏感数据。
其中的secretkey用于加密后期通信过程中的敏感数据,由于APP中使用的是对称加密,攻击者可以还原所有的通信数据。

案例二:XX运营商套餐任意消费漏洞
HTTPS证书校验不严格,可被MITM;加密算法不安全,可被破解;关键数据保存在sdcard卡上,可被任意访问;代码混淆度低,业务逻辑,关键数据泄漏;消息签名算法比较简单,数据可被修改。
在用户开启免密支付的前提下,结合以上安全问题,可以实现本地或远程攻击,直接盗取用户资金,如给任意账号充值等,给用户带来直接经济损失。

H5业务数据不安全

移动端对HTTPS的实现不完整或有误,使中间人攻击的可能性存在;证书未校验/部分校验/证书链校验;忽略证书验证错误;信任任意证书。

 
 

H5安全解决方案的关键技术

层面 安全挑战 安全方案
业务 社会工程、钓鱼、欺诈、灰产…… 人机识别、风控、信誉……
数据 篡改、敏感信息泄露…… 加解密、防篡改、认证、防抵赖等
应用 恶意代码 完整性校验、代码保护
浏览器 木马、恶意代码、远程溢出…… 访问控制、代码保护
网络 监听、劫持、注入…… 双向认证、会话密钥……
物理 N/A N/A

JustKey在H5方面从网络到业务逐层的安全防护机制,全方位保护H5应用的安全。