英国NHS API漏洞暴露关键移动安全风险 - Approov

最近，英国国家卫生服务局（NHS）API中发现的漏洞再次引发了人们对移动应用程序编程接口（API）安全性的关注。据报道，该漏洞使未经授权的用户能够访问敏感的患者数据，这一事件凸显了医疗保健应用程序在安全性方面的重大隐患。

API作为现代应用程序的重要组成部分，其安全性直接关系到整个系统的稳定性和数据保护。然而，许多组织在保护后端基础设施时投入了大量资源，却往往忽视了API的安全性。未加保护的API可能成为攻击者入侵系统的主要入口。

了解NHS API漏洞的根源

此次NHS系统漏洞通过安全性较差的API暴露了患者数据。尽管具体细节尚未完全披露，但以下几个常见问题可能是导致漏洞的主要原因：

1. 缺乏正确的身份验证：未严格验证API请求的合法性，使攻击者能够轻松访问敏感数据。
2. 静态API密钥的嵌入：开发人员将API密钥硬编码到移动应用程序中，攻击者可以通过反编译提取这些密钥。
3. 证书固定不足：未正确验证证书，可能导致中间人（MitM）攻击，攻击者可拦截API流量。
4. 缺乏运行时保护：攻击者可以反向工程应用程序，修改API请求并利用后端漏洞。

攻击者通常通过反编译应用程序、分析API流量并模拟合法请求来利用这些弱点。在最坏的情况下，他们可能获取大量敏感数据，就像此次NHS事件所展示的那样。

零信任安全方法：保护移动API的关键

传统的API安全措施大多集中在用户身份验证（如密码和多因素认证）上，但这远远不够。攻击者无需用户凭据，只需冒充合法的应用程序即可绕过这些防护措施。因此，移动应用认证和运行时安全成为保护API的关键。

1. 防止未经授权的API访问

NHS API漏洞的一个重要教训是，只有合法的移动应用程序实例才能与后端服务通信。通过采用移动应用认证解决方案，可以实现以下目标：

• 确保只有在未被篡改的设备上运行的合法应用程序实例能够访问API。
• 阻止克隆、重新打包或被操纵的应用程序发出API请求。
• 拒绝伪装成真实用户的机器人和脚本的API访问。

通过在运行时验证移动应用程序的合法性，可以有效防止攻击者利用被盗的API密钥或操纵请求。

2. 消除API密钥盗窃

在移动应用程序中硬编码API密钥是最常见的安全漏洞之一。攻击者可以通过反编译应用程序提取这些密钥，并利用它们发起未经授权的API请求。

动态API密钥管理可以有效解决这一问题，其核心特点包括：

• API密钥从不存储在应用程序中。
• 仅在运行时交付给经过认证的合法应用程序实例。
• 如果检测到应用程序运行在受感染的环境中，密钥会立即被撤销。

这种方法确保即使攻击者获取了应用程序代码，也无法提取有效的API密钥。

3. 防范中间人（MitM）攻击

尽管TLS加密可以提供一定的保护，但攻击者仍可能通过安装根证书或使用工具（如Frida和mitmproxy）拦截API流量。

动态证书固定技术可以进一步增强安全性：

• 确保移动应用程序仅与受信任的服务器通信。
• 防止攻击者注入恶意证书以拦截数据。
• 动态更新证书固定，避免因证书过期导致的应用程序功能中断。

组织应吸取的教训

NHS API漏洞并非孤立事件。在金融、医疗保健和政府应用程序中，类似的API漏洞屡见不鲜。为防止此类问题，组织应采取以下措施：

1. 实施移动应用程序认证：确保只有经过验证的应用程序才能与后端服务通信。
2. 消除静态API密钥：采用动态密钥管理，防止密钥被提取。
3. 强制证书固定：防止攻击者拦截API流量。
4. 监测API流量异常：利用AI驱动的安全工具检测异常的API使用模式。
5. 采用零信任安全模型：除非经过验证，否则永远不要假设API请求是合法的。

结论

NHS API漏洞暴露了移动安全领域的一个普遍问题：组织在保护后端基础设施时，往往忽视了API的安全性。事实上，API已成为新的攻击面，其保护需要以移动设备为中心的安全策略。

移动安全不仅仅是保护设备本身，更是确保整个数字生态系统的信任。随着攻击者技术的不断升级，安全策略也必须随之演进。

行动建议

您的组织是否已经评估了其移动API的安全性？如果您对API漏洞感到担忧，请优先检查以下方面：

• API身份验证机制是否完善？
• 是否采用了动态密钥管理？
• 是否具备运行时安全保护？

在下一次安全事件发生之前，采取主动的API安全策略至关重要。

原文链接: https://approov.io/blog/the-uk-nhs-api-flaw-a-wake-up-call-for-mobile-security