移动网络安全解决方案—JustCom传输加密网关-物联网解决方案频道-AIoT库

< >

应用场景:

主要技术:

实施时间：2018年、2019年

用户名称：某证券股份有限公司、青岛某信息技术有限公司。

存在问题：

某证券股份有限公司的公众号后台、青岛某信息技术有限公司棉纺织产业供应链金融服务平台存在被中间人攻击的问题，导致应用数据有可能被诊听，篡改。

解决方案：

JustCom传输加密网关的主要功能是双向认证、应用数据完整性校验，会话秘钥加解，密码键盘等。完美地解除了微信公众号后台存在的安全隐患，起到了保护长城证券用户个人隐私安全的作用。

H5客户隐私数据泄漏

案例一：XX金融MITM漏洞

XX金融由于证书校验有缺陷，导致https中间人攻击，攻击者直接可以获取到会话中敏感数据的加密秘钥，另外由于APP没有做应用加固或混淆，因此可以轻松分析出解密算法，利用获取到的key解密敏感数据。

其中的secretkey用于加密后期通信过程中的敏感数据，由于APP中使用的是对称加密，攻击者可以还原所有的通信数据。

案例二：XX运营商套餐任意消费漏洞

HTTPS证书校验不严格，可被MITM；加密算法不安全，可被破解；关键数据保存在sdcard卡上，可被任意访问；代码混淆度低，业务逻辑，关键数据泄漏；消息签名算法比较简单，数据可被修改。

在用户开启免密支付的前提下，结合以上安全问题，可以实现本地或远程攻击，直接盗取用户资金，如给任意账号充值等，给用户带来直接经济损失。

H5业务数据不安全

移动端对HTTPS的实现不完整或有误，使中间人攻击的可能性存在；证书未校验/部分校验/证书链校验；忽略证书验证错误；信任任意证书。

H5安全解决方案的关键技术