如今，科技进步衍生的新技术、新服务、新模式正逐渐融入大众日常生活中，支付模式也在变革中不断演进，手机变钱包，电子货币开始普及。然而，随着移动支付的广泛普及，面临的安全问题也日益凸显。无现金时代，该如何保障我们的移动支付安全呢？

爱加密专注于移动应用安全多年，深耕于金融行业，对移动支付领域中存在的移动安全问题进行过深入的研究。诸如手机App出现支付漏洞导致账户被盗刷、银行卡被盗刷、金融类App劫持钓鱼等严重安全问题，爱加密认为只有明确了移动支付所存在的问题，才能从根本上消除安全风险，保障移动支付安全。

常见安全风险

SSL证书验证是否完整

手机客户端是否存在键盘劫持情况

是否存在代码反编译、界面劫持的现象

调试日志中是否暴露了敏感客户信息

用户设备感染木马，短信劫持造成资金损失

撞库攻击，自动化攻击

客户端编译打包前要进行代码核查，确认调试接口已关闭

移动客户端运行环境监测

内存、缓存信息是否及时清除

应从客户端安全认证体系进行整体安全评估

支付安全性以及敏感信息是否泄漏

此外，相关政策《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知-146号文》对移动支付也提出了安全要求，如要加强支付敏感信息的安全防护，对重要信息关键字段进行散列或加密存储，保障信息传输、存储、使用安全。客户端软件应具有木马病毒防范、信息加密保护、完整性检查等功能，能够防篡改、防破解。系统应能够对手机支付环境安全风险进行监控等。主要还是集中在防破解、防篡改、信息传输加密、信息存储加密、完整性检查、木马病毒防范、支付环境监控等。

爱加密移动支付解决方案，通过安全合规、风险防范、主动防御来实现移动应用的全生命周期管理。从而实现移动支付应用的客户端安全、支付SDK安全、支付及认证安全、网络及服务端安全。

01移动安全加固

综合采用Android Dex加固技术、SO加固技术、SDK加固技术、输入输出信息保护技术、密钥白盒技术、C/C++/OC/swift源码混淆保护技术、Java2CPP保护技术以及SO Linker技术等，通过领先的第八代All-In VMP加固技术，为用户提供全面的移动应用加固和攻击防范解决方案。

包括Android应用加固、iOS应用加固、SO加固、SDK加固、H5加固、微信小程序加固、安全软键盘SDK、安全清场SDK、通信数据加密SDK、密钥白盒SDK等。

02防篡改/完整性检查

代码文件防篡改：对DEX代码、SO代码、H5代码全部进行完整性校验。

资源文件防篡改：对图片、脚本、文档等全部资源文件进行完整性校验，防止其被非法篡改。

签名文件防篡改：一般的APK中的签名文件保存在META-INF中，对App签名进行完整性验证，重新签名或篡改签名后，App无法正常安装或运行。

03信息存储加密

爱加密本地数据加密服务，主要为安卓App提供数据加密保护，从而防止、窃取用户隐私信息等。

加密对象：用户隐私信息、开发者加密算法及秘钥。

加密范围：针对手机本地sharedpreference类型的数据、文件、SQLite数据库文件进行加密。

加密算法：采用多种加密算法，包括国际通用算法（RSA、MD5、DES……）、国密算法及爱加密自主研发的加密算法等。

04防截屏保护

用户在填写姓名、电话、账户、密码、邮箱、地址等敏感信息时，屏幕上显示的信息可能被截屏造成信息泄露。通过Hook技术监控系统底层截屏相关函数（操作），阻止相关函数调用（兼容android 所有系统），防止敏感页面（Activity）被恶意App截屏。

05SDK清场

综合运用威胁检测技术、环境监测技术、云查杀技术，提供对移动应用的启动/运行环境安全监测、高效率病毒/木马/恶意查杀。

06页面防劫持

对恶意行为实时监听拦截，客户端运行时监控 Activity，如果发现Activity被覆盖，则提示用户有安全风险存在，不要输入敏感信息。页面（Activity）被恶意App劫持后，提醒用户谨慎操作。

07安全键盘（SDK）

Android安全键盘：键盘字符混排、键盘防截屏、键盘防劫持、输入无明文显示、输入无字符放大。

iOS安全键盘：键盘字符混排、输入无明文显示、输入无字符放大。

H5安全键盘：字符混排、输入无明文回显、适用微信公众号、小程序、Web。

08移动安全检测

平台采用静态检测、动态检测、内容检测等技术，全面检测移动应用中存在的安全漏洞、编码缺陷等问题，提前避免因安全漏洞导致的安全事故，及时预防安全风险。平台出具专业的安全检测报告，对发现的问题给予详细的解决建议。移动应用安全检测平台包括Android应用检测、iOS应用检测、SDK检测、内容检测等。

09渠道监测

实时监测800+个主要应用分发渠道，并可自定义新增监控渠道从而全面覆盖监控范围。帮助开发企业及时了解掌握盗版、仿冒应用、自身运营数据情况，防止出现冒充企业应用，误导用户下载并窃取用户信息的不法行为，避免为企业、用户带来移动支付损失。

目前，移动支付行业作为对安全要求极高的行业之一，一直以来走在攻防对抗的前线。从移动应用安全防护上来说，应该通过静态防护、业务安全防护以及动态安全防护等手段，来全面保障我们的支付安全。攻防对抗不断提升是整个安全发展的必然趋势，爱加密将与广大企业、用户一起同步提升能力，从而更加有效应对新形势下的安全挑战。