移动金融行业安全现状分析及解决方案.docx
《移动金融行业安全现状分析及解决方案.docx》由会员分享,可在线阅读,更多相关《移动金融行业安全现状分析及解决方案.docx(8页珍藏版)》请在冰豆网上搜索。
移动金融行业安全现状分析及解决方案
移动金融行业安全现状分析及解决方案
移动金融行业安全现状分析
2015年1月13日,央行印发《关于推动移动金融技术创新健康发展的指导意见》,强调移动金融是丰富金融服务渠道、创新金融产品和服务模式、发展普惠金融的有效途径和方法;第十二届全国人大三次会议上,李克强指出近几年“互联网+”对中国经济的推动产生了深远影响。
在种种有利背景之下,移动金融已经成为一片红海,移动金融开始出现井喷式发展,移动支付、手机银行、移动理财工具、手机购物客户端等各类移动金融工具纷纷涌现。
然而移动金融工具在带来便利的同时,也暗藏风险。
账户密码被窃取,手机绑定银行卡被盗刷,资金被转移,手机被植入木马病毒等安全问题层出不穷。
统计显示:
曾经有安全机构对国内100家金融机构移动应用的安全性进行了统计,发现将近三分之一的移动金融应用拥有超过9个以上的安全漏洞。
国内某大型应用开发商开发的手机银行更是被发现超过400个安全漏洞,其中137个为高危漏洞。
越权访问、客户端敏感信息泄露、越权修改数据、应用功能设计缺陷、中间人攻击缺陷、登录设计缺陷、服务器端不安全配置等是移动金融存在的主要安全问题,其中高等风险漏洞就超过了一半以上。
在移动金融发展的大背景下,金融数据丢失、网络攻击、移动客户端安全指数低、资金被盗等各种现象让金融企业防不胜防。
在这种情况下,爱加密推出了移动金融支付安全解决方案,解决了移动金融行业的燃眉之急。
解决方案:
(一)手机银行类App解决方案
A.漏洞分析
1)数据存储安全性分析
2)账号、密码等敏感数据内存分析
3)证书安全、交易安全性分析
4)界面劫持与截取分析
5)服务器地址被盗取和篡改分析
6)钓鱼攻击、数据包截获分析
7)网络监听、键盘输入监听分析
8)内存修改、动态注入分析
9)手机银行安全认证体系整体安全检测分析
B.应用保护
B.解决方案
1)漏洞分析
a.反编译、防破解分析
b.源码混淆分析
c.防二次打包分析
d.账号密码安全分析
2)应用保护:
a.DEX保护
b.防二次打包保护
c.so库保护
d.截屏保护
e.键盘监听保护
3)渠道监测
a.每两天更新渠道监测数据,渠道下载数据监控
b.渠道版本监控、正版盗版识别
C.保护效果:
有效的减少App被反编译、被破解的风险,so库核心文件得到保护,账号密码泄露风险减少
6.1.3移动支付类App解决方案
1.漏洞分析
1)数据存储安全性分析
2)账号、密码等敏感数据内存安全分析
3)证书安全、数据包截获分析
4)界面劫持与截取分析
5)服务器地址被盗取和篡改分析
6)键盘输入监听内存修改、动态注入分析
7)钓鱼攻击、网络监听分析
2.应用保护
1)DEX三重保护
A.Dex加壳保护
B.Dex指令动态加载
C.源码混淆保护
2)so文件加密(爱加密独有so文件加密保护技术)
A.对加密so文件进行优化压缩
B.对加密so文件源码进行加密隐藏
C.加密后so文件能够有效的防止IDA等工具逆向分析
3.定制保护:
1)防止界面截取、输入法攻击引起隐私信息泄露;
2)防止解包、打包、源码转译以及源码优化
3)本地储存加密;
4)网络协议加固;
5)防止篡改支付链接
6)防止钓鱼欺诈
7)防止账号秘密窃取
8)防止恶意消费
4.渠道监测
1)渠道数据监控
一站式监控国内外428个App渠道信息,实时监控各渠道相关数据信息
2)精准识别渠道正盗版
提供正版盗版App信息精准对比,并反馈详细数据信息到用户后台
3)盗版App详情分析
分析项目涵盖APK所有路径文件及代码,清晰查看修改项目或第三方代码
4)一键生成报告
提供一键生成报告功能,全面记录App盗版分析数据
典型案例:
首信易支付:
描述:
中国第一家独立第三方支付平台,是目前国内支持银行卡种最多、覆盖范围最广的支付平台。
爱加密为首信易支付提供安全支持,保障支付安全和秘钥安全。
使用服务:
爱加密DEX三重保护+so文件加密+定制保护+渠道监测
A.保护需求:
1)对dex加壳保护,防止被工具反编译破解
2)对代码进行混淆处理,降低逆向分析的风险。
3)防止APK被拆包后二次打包。
4)服务端自动加密,支持API调用
5)对软件进行自校验,保证自身的完整性。
6)任何密钥都应该分散存储,防止被直接读取。
B.保护方案:
1)漏洞分析
a.反编译分析
b.二次打包分析
c.代码混淆分析
d.支付安全分析
2)应用保护
a.DEX加壳
b.源码混淆
c.防二次打包保护
d.自动加密支持
e.对软件进行自校验
f.密钥分散存储
3)渠道监测
a.监测渠道版本信息,包括盗版信息
b.正盗版分析
C.保护效果:
爱加密为该第三方支付平台提供安全加密服务,有效的减少了客户端被篡改的风险,时刻保护用户账号密码安全,保护用户财产安全。
(二)移动支付类App解决方案
1.漏洞分析
8)数据存储安全性分析
9)账号、密码等敏感数据内存安全分析
10)证书安全、数据包截获分析
11)界面劫持与截取分析
12)服务器地址被盗取和篡改分析
13)键盘输入监听内存修改、动态注入分析
14)钓鱼攻击、网络监听分析
2.应用保护
1)DEX三重保护
A.Dex加壳保护
B.Dex指令动态加载
C.源码混淆保护
2)so文件加密(爱加密独有so文件加密保护技术)
A.对加密so文件进行优化压缩
B.对加密so文件源码进行加密隐藏
C.加密后so文件能够有效的防止IDA等工具逆向分析
3.定制保护:
9)防止界面截取、输入法攻击引起隐私信息泄露;
10)防止解包、打包、源码转译以及源码优化
11)本地储存加密;
12)网络协议加固;
13)防止篡改支付链接
14)防止钓鱼欺诈
15)防止账号秘密窃取
16)防止恶意消费
4.渠道监测
1)渠道数据监控
一站式监控国内外428个App渠道信息,实时监控各渠道相关数据信息
2)精准识别渠道正盗版
提供正版盗版App信息精准对比,并反馈详细数据信息到用户后台
3)盗版App详情分析
分析项目涵盖APK所有路径文件及代码,清晰查看修改项目或第三方代码
4)一键生成报告
提供一键生成报告功能,全面记录App盗版分析数据
典型案例:
首信易支付:
描述:
中国第一家独立第三方支付平台,是目前国内支持银行卡种最多、覆盖范围最广的支付平台。
爱加密为首信易支付提供安全支持,保障支付安全和秘钥安全。
使用服务:
爱加密DEX三重保护+so文件加密+定制保护+渠道监测
A.保护需求:
1)对dex加壳保护,防止被工具反编译破解
2)对代码进行混淆处理,降低逆向分析的风险。
3)防止APK被拆包后二次打包。
4)服务端自动加密,支持API调用
5)对软件进行自校验,保证自身的完整性。
6)任何密钥都应该分散存储,防止被直接读取。
B.保护方案:
1)漏洞分析
a.反编译分析
b.二次打包分析
c.代码混淆分析
d.支付安全分析
2)应用保护
a.DEX加壳
b.源码混淆
c.防二次打包保护
d.自动加密支持
e.对软件进行自校验
f.密钥分散存储
3)渠道监测
a.监测渠道版本信息,包括盗版信息
b.正盗版分析
C.保护效果:
爱加密为该第三方支付平台提供安全加密服务,有效的减少了客户端被篡改的风险,时刻保护用户账号密码安全,保护用户财产安全。