一、 前言

随着移动互联网、人工智能等高新技术的快速发展，人类社会已加速迈入数字经济时代。国家对于数字化转型给予了高度重视，近年来先后出台了各类政策扶持及指导意见，将数字经济发展提升至国家战略高度。在数字化转型的同时，风控能力逐渐成为影响企业可持续发展的重要因素。近年来，各企业积极建设业务风控能力，引入人工智能、云计算和大数据等新技术，整合内外部资源，搭建全新的智能风控系统，不断实现全风险智能管控，全面助力风险管理水准提升。

然而，数字化转型给企业的IT形态带来了巨大变化，线下业务线上化、数据服务外部化等均对企业的业务风险控制提出了更高的要求。移动安全的整体攻防态势也在发生着深刻的变化，以人脸识别绕过为代表的技术化攻击及风控绕过技术正在对企业的业务安全产生着深远的影响。

二、 2020移动安全生态变化

基于M1芯片的MacOS对移动安全的影响

2020年11月11日，苹果发布了Mac专用的芯片M1，不同于以往我们对电脑处理器的理解，M1是一个类似于手机SoC的整合型芯片，包括CPU、GPU、NPU、ISP、缓存等等模块，都被苹果整合到了一起。凭借ARM架构的先天优势，M1芯片的能耗表现绝对要优于X86。而且，在搭载M1芯片的新Mac上可以直接运行iOS上的应用。如此一来，在Mac上用户和程序都允许获得系统Root权限， iOS App数据在macOS层不受保护，意味着每台苹果电脑都可能成为一个黑产的温床，在苹果电脑上进行批量多开、代理、打码接码等操作将易如反掌，传统的黑产工具可以发挥重大作用。新版本的M1芯片的macOS出现，则天然提供了大号模拟器的环境，而且在电脑上就可以对应用进行多开。攻击者可以在MacOS上任意对应用进行hook、多开，甚至执行任意的非法脚本和函数。可以说，无论是对黑灰产、风控还是安全研究，ARM芯片在桌面消费市场真正的应用带来的影响都是颠覆性的。

隐私合规对移动安全生态的影响

隐私合规的强力推进，使得数据采集进一步受限，当前无论是高敏感信息还是一般敏感信息的采集都非常谨慎，比如设备硬件信息、位置信息、通讯录、应用安装列表等。依据当前规定，所有采集的信息必须说明使用目的，一些攻击者能够直接通过隐私合规申明了解应用自身存在的安全措施及相关的程序代码。依照规定，不得因为未授权而拒绝使用，这导致部分APP在实际运行过程中面临黑产攻击时，往往由于授权时被拒绝掉绝大部分的权限而不能被跟踪和分析，给攻击溯源、分析造成困难。

传统设备指纹地位的逐步淡化

设备指纹的安全及运营地位正在逐步降低，随着操作系统的安全性及隐私保护能力的提升、隐私合规导致主观采集信息的减少以及攻击者主动进行拒绝权限及篡改参数，设备指纹在抗攻击层面安全性逐步降低，设备指纹的核心风控参数地位正在逐步变成一个辅助风控参数指标。

人脸识别绕过等前端技术化攻击态势加剧

2020年人脸识别绕过技术成为黑、灰产的通用普适性攻击技术。截止目前，国内大型金融、运营商、政府等移动应用均遭受过人脸识别绕过攻击，给业务安全带来严重影响。如下图所示，人脸识别绕过攻击发生的根源仍然在于移动应用前端数据造假及业务逻辑劫持绕过。

目前手机APP的人脸认证过程，前端SDK做完活体检测后，截取视频照片，发往服务端，进行人证信息的比对，在这个过程中有多种技术化方式进行人脸攻击（此处未列举面具等物理攻击）：

1、传输层抓包：

攻击方式：在照片数据传输过程中进行抓包，将照片替换成为攻击者指定的照片；

攻击难度：☆☆☆    攻击复用度：☆☆      监测难度：☆☆

2、应用函数劫持：

攻击方式：对APP内部的关键函数调用关系进行HOOK劫持，做完活体检测后，在数据包发送之前进行照片替换，换为攻击者指定照片；

攻击难度：☆☆☆       攻击复用度：☆☆☆      监测难度：☆☆☆☆

3、系统函数劫持：

攻击方式：APP人脸识别SDK模块调用系统摄像头API接口过程中被劫持，从本地选择照片或视频传入；

攻击难度：☆☆☆☆       攻击复用度：☆☆☆☆     监测难度：☆☆☆

4、底层摄像头驱动篡改（定制ROM）：

攻击方式：篡改底层摄像头驱动，重新定制一个攻击ROM，彻底从代码层改变执行逻辑，不执行拍照过程，采用已拍好照片或视频；

攻击难度：☆☆☆☆☆       攻击复用度：☆☆☆☆☆     监测难度：☆☆☆☆☆

三、 移动业务安全面临的新挑战分析

金融机构数字化转型下移动业务形态的变化

目前许多企业逐步将自己的线下业务迁移到线上，传统线下业务线上化后，原有基于柜面业务的人控机制逐步被打破，很多业务逐步转化为技术控制，如识别是否是本人交易，从传统的柜面人工核验，转化为线上人脸识别比对，突破地域限制，给攻击者创造了极为便捷的条件。

此外，传统的业务基本在自身的相对可信环境下运行，如开户、交易等均在自有APP中完成，随着数据和服务的对外开放，业务往往需要借助SDK/H5等形态寄生在第三方的不可控环境中运行。

业务缺陷仍然是移动业务安全的重大风险

当前，业务缺陷仍然是构成移动业务安全的最大风险，攻击者通过渗透测试挖掘移动应用漏洞，从而绕过现有的常规安全控制机制，主要体现在以下方面：

（1）业务类型丰富：随着线上业务的逐步丰富，新业务模块的不断增加，带来的业务漏洞风险也在不断增大；

（2）版本迭代加快：业务的频繁更替，对移动应用的版本发布频率提出了更高的要求，安全测试工作无法有效跟进；

（3）黑盒渗透技术进一步完善和成熟：非脱壳渗透测试技术的广泛使用和Https及内层对称加密破解手段标准化。

业务安全防御手段正在面临挑战

在过去的5年中，绝大部分的企业已经建立了基于规则、模型的业务风控/反欺诈系统等业务安全防护类系统，用于抵御黑产、薅羊毛等业务安全问题。然而，业务安全防护类系统是一个偏重于后端的系统，通过收集前端的设备、系统、行为、交易数据，通过规则和模型判断交易的异常情况。事实证明，在缺乏前端安全监控与防御的情况下，前端数据造假已经成功欺骗后端业务安全系统。

攻击与防御发展不均衡

移动攻击产业链的分工较为细致，“商业模式”清晰，目前已经形成了自我成长和进化的产业链，主要体现在以下几个方面：

（1）基础攻击工具及漏洞挖掘等基础工作由专门人员完成。

（2）辅料的售卖和租赁：卡、机、IP、身份信息。

（3）利益变现：薅羊毛>信息窃取（电信诈骗）>三方支付购买道具>直接资金窃取。

（4）目标寻找：攻击目标的选择往往呈现出“水往低处流”的趋势，有限选取安全能力较弱的客户进行尝试。

金融行业作为信息安全的排头兵，安全防护的制度和技术措施已经较为领先，但是仍然面临以下几个困境：

（1）安全的木桶效应决定了防御的难度大于攻击；

（2）安全的发展已经逐步从“安全工具”到“工具+能力”的转变，很多的安全技术措施必须依赖于正确的策略配置和正确的使用方式；

（3）数字化转型导致的风险增加与安全预算的增加不成正比；

（4）行业间尚未形成较好的威胁情报共享体系（目前人民银行正在搭建威胁情报共享平台）。

移动应用运行过程不可控

在移动业务安全面临的挑战中，还有一个比较大的挑战就是移动应用运行过程不可控，主要体现在4个方面：

（1）终端设备不可控：终端设备上的移动运用运行环境是否是客户业务场景允许运行的环境，如：模拟器、多开器、群控、云手机、macOS等。

（2）前端逻辑不可控：对于某些重要的逻辑，是否真正按照预订的期望正确执行，如OCR识别逻辑、活体检测逻辑、前端校验逻辑等。

（3）前端数据不可控：从前端采集的数据，是否是真实数据或者是否按照正常业务逻辑采集的数据，如：设备信息、位置信息、人脸信息、图片信息等。

（4）前端程序不可控：程序目前正在发起请求的是否是真实的官方客户端程序，第三方代码是否按照预定期望合规执行，如盗版仿冒客户端请求、模拟协议请求、第三方SDK热更新恶意代码、第三方SDK违规采集敏感数据等。

四、 技术与业务双轮驱动的业务风控升级

风控的基本类型可分为三类，分别是业务风控（也叫交易风控）、信贷风控和合规风控。业务风控常用于在注册、支付、购买等交易环节进行风险控制，用于防止信息泄露、资金窃取、薅羊毛等业务欺诈行为；信贷风控常用于在信贷环节的贷前、贷中、贷后进行风险控制，用于控制信贷坏账率的规模及发生概率；合规风控常用于在新业务及新功能开拓前进行合规风险评估，用于控制新业务及功能的法律及监管合规，技术化攻击的重点则发生在业务风控及信贷风控中，也是目前企业风控能力提升的重点方向。

传统企业的业务风控防范重点在于灰产，如批量刷单、开卡、薅羊毛、电信诈骗等，但对于黑客及违规风险防范不足，如黑客攻击层面：渗透测试及漏洞挖掘、应用破解和调试攻击等，业务违规层面：违规打卡、违规签到以及违规巡检等。传统业务业务驱动下的风控基本模型如下图所示，风控系统综合前端采集数据（设备基础信息、网络IP地址信息、地理位置信息、音视频信息）、业务交易数据（手机号、账号、交易类型、交易金额、收获地址）和第三方数据（运营商数据、安全厂商情报数据、互联网厂商数据、公安、人民银行等官方数据），综合评估交易的风险状况，并进行风险决策。

而术化攻击手段对传统风控最大的挑战在于，前端数据造假从而导致风控规则及模型失效。如依赖于GPS坐标信息来判断用户是否在常规交易地点，但这种信息在前端造假后极容易伪造出在常规交易地点而欺骗风控。

近年来，针对APP、SDK、H5等前端应用的技术化攻击方式不断发展，攻击方式及技术路线成熟，如下图所示：

传统的业务驱动的风控系统在技术化攻击的背景下，需要在进行风控系统升级时纳入技术风险维度的判断依据。在技术与业务双轮驱动下的业务风控逻辑架构如下图所示：

图3 业务风控逻辑架构

技术风险分析引擎通过前端的设备、系统环境、运行时攻击、用户行为、应用及进程风险等多个维度，综合分析当前交易设备的风险等级及风险评分，同时业务风险分析引擎通过用户账户、用户交易等多个维度，综合分析当前交易的业务风险等级及业务风险评分。

业务风控系统的交易处置决策引擎综合技术、业务的分析结果，决策当前交易的处置方式。在业务与技术的双轮驱动下，企业的业务安全能力能够走上一个新的台阶。