近日百度安全實驗室在手機銀行正版信息提取時,發現有一個數字證書籤名(簽名信息如圖1)被很多銀行的手機客戶端所使用。與此同時還發現了幾款個人開發者類應用也使用了此證書籤名。而這種數字簽名被濫用的行爲存在極大的安全隱患。
圖1. 簽名信息
經挖掘和分析,研究人員發現目前共有23款不同銀行手機銀行客戶端使用該簽名:
以上不同銀行的手機客戶端應用都是外包給某第三方公司開發的。
在應用市場內,目前共發現6款個人開發的應用同時使用該數字證書籤名:
這六款手機客戶端爲同一個人開發者,推斷該個人開發者應該爲“某第三方公司”員工,該員工“不小心”用公司的數字證書籤名了個人開發的小應用併發布到不同應用市場。
目前暫未發現利用該證書從事惡意行爲。但還是存在以下巨大的安全風險:
1、不同銀行的Android手機客戶端應用都使用了同一個證書籤名.
Android系統中,證書的作用是建立一個應用程序與其開發者實際上就是應用程序的所有者之間的信任關係,是Android安全機制中的重要組成部分。雖然這些銀行客戶端都是由一家公司負責開發的,但是實際上這些應用應該是屬於各個銀行的,所以不應該使用相同的簽名。
2、銀行的Android手機客戶端使用了第三方外包公司的證書籤名。
銀行類應用作爲一種跟人的財產密切相關的應用更應該注意應用的安全性。而證書籤名作爲一個Android應用與應用安全密切相關的部分,各家銀行應該製作其獨有的簽名證書,並且嚴格管理此證書。即使客戶端由其他公司開發,但是給應用簽名最終發佈時,各家銀行也應該使用自己的獨有證書來簽名。而目前的狀況卻是多家銀行的應用居然使用了同一個外包公司的證書,而且這個證書從目前分析來看是這家公司的公用證書,並沒有什麼獨立性和保密性可言。
3、第三方外包公司證書管理缺失,如此重要的證書,居然被個人隨便拿來簽發個人應用。
基於Android系統中使用相同簽名的應用可以利用的一些規則和權限,一旦如此重要的簽名證書被個人開發者拿來製造惡意程序,就會給使用這些正版客戶端應用的用戶帶來極大的危害,尤其是這些應用中有很大一部分是銀行類應用。而目前的狀況是有20款銀行手機客戶端使用了同一款證書,一旦此證書被盜用,惡意開發者就會危害至少20款銀行手機客戶端的用戶資金安全,其危害範圍非常巨大。
目前該漏洞已提交烏雲漏洞平臺:
http://www.wooyun.org/bugs/wooyun-2014-067027