移动支付规模随着智能手机的普及与移动互联网的发展日益扩大,但是也存在诸多隐患。近日,央视《每周质量报告》报道了移动支付存在的诸多安全隐患:由于手机系统存在的固有漏洞,使攻击者通过建立公共WIFI、植入木马程序的方式获取用户手机隐私以及账户信息,实现银行卡与支付宝账户中现金盗取。
小米2三星等机型被曝存安全漏洞
据调查,小米、华为、谷歌等部分机型存在安全漏洞,在遭遇攻击时,手机上的安全软件完全失效。小米2、三星Galaxy S4、谷歌Nexus4以及华为、联想部分机型存在ROOT提权安全漏洞即能让攻击者获取手机最高权限的漏洞。
按照支付宝以及支付平台现有的保护措施,用户在具有账号、登录密码、支付密码、短信验证码四道防线才能通过第三方支付平台实现消费转账,并且每笔消费都会有银行账户变动短信进行提示。那么数道防线下,不法分子又是如何盗刷银行卡的呢?
据央视《每周质量报告》报道,北京市从事研究第三方支付的独立机构将近年来通过支付宝盗刷银行卡的案例进行汇总分析指出,部分案例是由于用户个人不慎,泄露个人信息所致,如被人复制身份证补办手机卡,导致银行卡被盗刷。但是,大部分案例都是用户被动情况下由于手机存在安全漏洞,被黑客利用而导致用户银行卡资金被盗。爱加密安全专家指出,防止黑客利用手机存在的安全漏洞盗取用户资金的核心是对支付类App做好安全防护。
手机系统漏洞致手机安全软件失效
在这些被调查的手机中,全部都安装了国内主流的手机安全软件。根据央视报道,当专业技术人员利用系统安全漏洞进行支付宝攻击转账测试时,手机上安装的安全软件并没有做出安全防护措施。
对此,国家重大专项课题《Linux/Android操作系统安全漏洞检测》研究小组负责人诸葛建伟表示,这种攻击模式组合使用浏览器的漏洞和本地Root提权漏洞,进行进一步攻击,完全屏蔽掉360手机卫士的运行,从而使其失效。并且该种攻击模式,使腾讯手机管家等市场主流手机安全软件同样失去保护手机的作用。
爱加密从源头上保护支付类App,保障用户资金安全
爱加密技术团队经过大量的调查研究,将黑客对支付类App的恶意行为分为五大类:系统使用键盘和输入法攻击,界面截取,储存本地数据窃取、用户隐私窃取,反编译源码,网络交互协议抓取。针对这些恶意行为,爱加密可以提供全方位的保护方案,包括安全评估及处理、dex三重保护、So库加密、定制保护等四个方面。
通过这套专属的移动支付App安全解决方案,可以实现本地存储加密,防止本地数据被窃取;对网络协议进行加固,阻止网络交互协议抓取;有效防止输入法攻击引起隐私信息泄露;防止界面截取,保护android os2.0-os4.4隐私安全;防止解包、打包、源码转译,从根源处杜绝二次打包的发生。
上一篇: 爱加密:揭秘手机吸费软件的“作案”过程