文档章节

年底购物狂欢,移动支付安全不容忽视

科技创造
 科技创造
发布于 2014/12/18 15:22
字数 2256
阅读 103
收藏 6

对于网购一族而言,年底可真是一个败家剁手的好季节啊。双11败家的钱还没还上,双12又来了,双12刚走了,圣诞促销、元旦促销、春节促销、情人节各种节日促销又来了,败家根本停不下来啊。但是在任性败家的时候,你发现了潜伏在你周围的危险了吗?尤其是对于手机购物一族,败家前看好手机钱包才是最重要的。

先来看看这篇 “金融支付类移动端的安全防范策略分析”报告。(摘自互联网金融支付安全联盟第四期期刊,其联盟会员“爱加密”提供内容)

正文:

移动支付是相对于PC端支付的一种新型支付方式,是借助移动终端(手机居多)为载体进行的一种支付方式。相对于PC端支付,移动支付具有便捷、快速等特点,这种便捷性使得移动支付成为一种新的趋势。2014年第二季度,全国共办理非现金支付业务150.38亿笔,金额456.20万亿元,其中,移动支付业务9.47亿笔,金额4.92万亿元,同比分别增长1.55倍和1.37倍,移动支付业务继续保持高位增长。

移动支付应用大概分四类:

手机银行客户端。目前大多银行都有自己的客户端,根据360互联网安全中心《中国移动支付安全报告》显示,市场有170家手机银行客户端,下载总量达1.08亿,其中下载量前五的分别是建行手机银行,工行手机银行,交通银行,招商银行,农行掌上银行。

第三方支付应用。这一类应用以支付宝、财付通等具备一定实力和信誉保障的第三方独立机构为代表,此类支付应用占去很大的市场份额。以手机支付宝(即支付宝钱包)为例,截止2013年11月13日,支付宝手机支付用户超1亿,从2014年3月以来,支付宝每天的移动支付笔数超过2500万笔。

电信运营商。以中国移动为例,中国移动开通手机支付,方便用户进行缴纳话费、水费、电费、燃气费及有限电视费等,同时还开通手机钱包,将日常生活中使用的各种卡片应用(如银行卡、公交卡等)装在在具有NFC功能的手机中,实现手机变钱包的功能。

其他含支付功能模块的手机应用,如电商类、团购类、理财类应用。对这些应用来说,支付并不是其核心功能,但支付模块却是其产品中不可缺少的功能。

移动支付应用安全现状:

移动支付快速发展的背后暗藏危机。根据调查, 2014年第一季度支付类应用共364款,共有320款应用被植入恶意病毒代码。五大购物支付类应用(支付类、电商类、团购类、理财类、银行类)中,每一类均存在大量被二次打包的现象,不少手机支付购物类APP的非官方版本被植入了病毒代码。

(数据来源:艾媒咨询)

常见移动支付应用攻击方式:

系统使用键盘和输入法攻击

用户在使用手机支付的时候都会使用键盘和输入法输入账号信息和密码。黑客就可以通过对系统输入法的攻击,达到对支付应用内部输入框数据的窃取。

界面截取

用户在进行支付输入密码的时候,密码输入框信息为“*”,但在实际上在触发键盘的瞬间,大概1秒的时间,会显示输入的具体数字或者字母,黑客可以对界面进行实时监控,利用这1秒的时间截取屏幕,获取密码。

储存本地数据窃取、用户隐私窃取

黑客可以利用技术手段获取手机本地的数据,用户隐私,如通讯录、账号信息等。

反编译源码进行钓鱼攻击

黑客可能会对应用进行反编译、获取源码、修改源码、嵌入病毒、再进行打包签名,做一个和原应用一样的应用,而这个新应用里包含了如扣费、窃取隐私一类的病毒,而用户很难发现。

网络交互协议抓取

就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全,但往往被别有用心之人用来网络作弊。

面对如此严峻现状,我们该如何保障移动支付应用安全?

保障移动支付安全,需要移动支付链的各方参与者共同维护,包括开发者、政府、应用渠道、安全服务商和用户。

开发者:从源头保护应用

开发者是移动支付的源头,从源头上保护应用安全,是每个开发者的义务,尤其在研发应用之时,开发者需要从技术角度对应用进行保护,从根本上保护应用安全。

1) 保护源码,保护Linux动态库以及存放在assets下的网页文件的安全。对于移动支付应用最重要的so文件,开发者尤其需要重视,可以借助第三方的安全服务商进行加密保护。

2) 保护数据,包括本地数据存储安全和账号密码等敏感数据内存安全

3) 保证证书安全

4) 防止服务器地址被盗取和篡改

5) 防止钓鱼攻击、网络监听

2. 政府:出台行业标准,规范应用基准

目前,移动支付行业的法律法规不健全;加密标准和加密算法也不够规范;行业内缺乏统一标准;这些都需要相关部门和行业来共同制定实施,保障支付安全。伴随着移动支付的爆发式增长,监管政策亟待增强。

3. 应用市场:加强审核

  应用市场是用户进行应用下载的主要渠道,对提交应用市场的应用进行安全审核能有效的降低恶意应用流向用户的数量,因此,应用市场加强审核是保障支付应用安全的重要一环。

4. 安全服务商:提供安全快捷、全方位的安全服务

目前,市场上有多种为移动应用提供安全服务的厂商,但是能够满足移动金融支付类应用高要求、高防护、高级别需求的专业移动安全服务厂商并不多,     作为关系着用户个人财产的重要工具,移动支付类应用必须需要更为专业、更为安全的服务,如立体化的加密服务、漏洞检测、安全评估等,这类型的安全服务商以爱加密为代表,在整个移动支付链上有着重要的作用,能有效保障移动支付的安全。移动支付安全是一个广而深,且不断动态提升的技术领域,希望有更多安全服务商参与进来,共同研究与促进移动金融安全的进一步发展。

5. 用户:正规渠道下载应用,提高安全意识

在渠道的选择上,尽量选择大型可信的市场,选择安全放心口碑较好的下载平台,或直接在各大知名的官网进行下载,务必确保网址链接的准确性。

结论:

一直以来,机遇和危险并存。移动支付在带给我们便利的同时,同样也孕育着风险。保障移动支付安全是保障移动金融支付发展的前提,要保障移动支付的安全,必须要移动支付链上各方共同维护,加强安全意识,加强风险防范机制,提升移动支付风险管理水平,保障移动支付安全

本文转载自:http://club.china.com/data/thread/271953791/2775/40/20/8_1.html

科技创造
粉丝 37
博文 199
码字总数 174505
作品 0
徐汇
程序员
私信 提问
“双十一”、“双十二”大促期间,如何防止网站崩溃?

“双十一”、“双十二”期间是所有电商行业的流量高峰期,作为一个电商网站,如果不能保障流畅运行,将会对企业造成巨大的经济损失。回顾去年天猫“双十一”,当天日活跃用户到达峰值3.56亿,...

墨者安全
2018/11/12
0
0
巴斯光年探险阿里聚安全攻防挑战赛!决战12月28日!

巴斯光年探险阿里聚安全攻防挑战赛!决战12月28日! 中文名:巴斯光年实验室 性格:果断,勇猛,随和,幽默,有责任心和正义感,关心伙伴! 技能:护航移动终端基础安全 产地:蚂蚁金服神盾局...

阿里聚安全
2016/12/15
24
0
阿里巴巴首席战略官:阿里云要当中国Android

【搜狐IT消息】北京时间9月10日消息,阿里巴巴首席战略官曾鸣表示,阿里巴巴认为去年推出的阿里云手机操作系统,今年来自手机制造商的需求会更强劲。 阿里巴巴预期到今年底,采用阿里云系统的...

oschina
2012/09/10
4.8K
32
天猫双11背后:阿里云全球最大混合云再创记录

摘要:截至11日下午2点,5亿消费者的狂欢创造了价值超过1220亿的订单,总支付笔数已超过8.6亿笔。“史无前例的互联网规模,14万个明星品牌,1500万种商品的商业协同、金融级的安全保障”,阿...

云栖社区
2017/11/13
0
0
2019与下一个十年:我们将要放弃的和将要拥抱的

来源:资本实验室 2019年,是连接21世纪前两个十年的过渡一年。在金融支付和商业领域中,2019年也有望成为激动人心的一年。 在这一年中,每家企业、每个人都需要对过去十年中所追求的创新进行...

人工智能学家
01/22
0
0

没有更多内容

加载失败,请刷新页面

加载更多

为构建社交关系链手淘都做了啥?

作者|王卫(泓冰) 出品|阿里巴巴新零售淘系技术部 01、淘宝社交关系推荐的背景 1、互联网下半场到来:互联网的下半场,人口红利消失,各大平台需要对用户做精细化运营,用户的增长和留存是每一...

阿里云官方博客
13分钟前
3
0
Iaas/Paas/Saas有何区别,一个故事告诉你

云计算有三种服务模式,IaaS,PaaS和SaaS。单从英文全称去理解,他们分别是“基础设施即服务”“平台即服务”和“软件即服务”。 这样翻译过来可不好理解,但是我们可以举个例子。现在我们就以...

JEPaaS云平台
21分钟前
3
0
温度传感器怎么测好坏

  温度传感器也就是负温度系数热敏电阻,温度越高,电阻越小,测量时先看其阻值能不能根据温度的变化而变,再看其变化的阻值是不是在标定的范围之内。   有以下四种方法;   1、若是有...

仙溪
21分钟前
3
0
zk中ZooKeeperServer解析

内部类 ChangeRecord 处理PrepRP和FinalRP之间的信息 static class ChangeRecord { ChangeRecord(long zxid, String path, StatPersisted stat, int childCount, List<ACL> acl) {......

writeademo
31分钟前
3
0
LNMP---安装worrdpress、discuz,域名重定向,用户认证,nginx访问日志

4.34 安装wordpress 4.35 安装discuz 4.36 域名重定向 4.37 用户认证 4.38 nginx访问日志 一、安装wordpress 创建博客: 添加一个博客的虚拟主机 blog.tobe.com.conf 做如下更改 安装博客wor...

tobej
33分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部