首页> 技术观点 > 这些移动支付风险一定要警惕

这些移动支付风险一定要警惕

发布时间:2019-10-18

如今,移动支付已经深入到我们的日常生活与工作之中,移动支付所面临的风险问题也日益凸显。无论是手机支付、人脸支付、物联网支付还是云支付,其安全风险一直都存在。如采用简单密码、通信过程未加密、没有更新补丁等诸如此类高危漏洞风险,任何一处风险都有可能使得威胁扩散到整个网络与核心系统,从而造成安全隐患。

NO1:新型BankBot木马

新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。

 

NO2:非法窃取

2019年3月14日杭州*网科技被举报,其控制的服务器通过数据窃取组件,来收集电话联系人列表,地理位置和QQ登录信息,该组件存在于第三方商店提供的多达12个Android应用程序中。据悉,窃取信息的代码隐藏在看似安全的应用程序中的数据分析软件开发工具包(SDK)中,并在手机重新启动或受感染的应用程序启动时提供详细信息。

 

NO3:不规范应用

2019年2月份,有网友抓包了*迹天气的数据,发现*迹天气在上传信息的时候会连同用户的wifi账户一起上传。2018年3月28日晚,央视财经频道《经济半小时》报道:WiFi万能钥匙和WiFi钥匙软件通过攻破网络,明目张胆地掌握个人或商业机构、国家重要机关的隐私及信息。

 

NO4:恶意篡改

某支付SDK被xposed框架进行hook攻击后,修改其本地支付结果,造成未支付情况下的本地支付成功。

 

NO5:短信钓鱼

尊敬的Apple用户您好:您有台离线的iPhone设备正通过iTunes异地联网刷机,系统已定位。最新报告的iPhone位置将显示24小时。点击前往www.apple.mwios.cn 获取更多帮助。

除此之外,事实上移动应用还面临着越界提取、二次打包、勒索、破解、信息劫持、APT攻击、SDK滥用等诸多风险威胁。面对这些问题,政府、运营商、行业用户等,除按照监管机构的相关法律文件提高社会责任意识进行相应的资产合规自查之外,还需要进行移动应用支付安全防护体系建设。

 

Q:那么如何进行安全防护体系的建设呢?

A:爱加密移动支付安全防护解决方案,从安全合规、风险防范、主动防御三方面来进行,为业客户提供合规的风险前瞻性发现和针对性防护,提高移动应用防护能力和运营效率。

客户端+SDK安全

针对目前移动应用普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安全风险,爱加密可为用户提供全面的移动应用加固加密技术和攻击防范服务。包括Android应用加固、iOS应用加固、SO加固、SDK加固、H5加固、安全软键盘SDK、安全清场SDK、通信协议加密SDK、密钥白盒SDK等。

 

支付及认证安全

清场保护:爱加密自主研发的清场保护技术,综合运用威胁检测技术、环境监测技术、云查杀技术,提供对移动应用的启动/运行环境安全监测、高效率病毒/木马/恶意查杀。

页面防劫持保护:对恶意行为实时监听拦截;客户端运行时监控Activity,如果发现Activity被覆盖,则提示用户有安全风险存在,不要输入敏感信息。

 

网络及服务端安全

通信协议加密SDK:实现数据传输及通讯协议加密保护,保护App与服务器间的通信安全,经过数据传输加密后,抓包工具在数据传输链路中,将截获不到明文信息。

 

移动互联网检测监控安全

移动应用安全检测:分为静态分析和动态分析,检测移动应用内部存在的安全风险,对发现的安全问题给出解决建议。提供高效,准确,完整的移动应用安全分析报告;协助开发/监管人员掌控移动应用中存在的风险,有效提高移动应用开发的安全性。

渠道监测:服务涉及600+渠道资源的数据监测、盗版APP识别和分析。用户通过渠道监测平台,可对所有推广渠道中的APP进行统一管理,第一时间发现盗版并规避安全风险。

兼容性测试服务:移动应用端到端开发和测试解决方案,快速适配各种机型,同时捕获性能数据。分为基础测试和深度测试两种模式,主要依据黑盒测试而设计,其中功能模块及集成测试模块采用的功能图法和判定表驱动法。

 

渗透测试服务

Android渗透测试:渗透技术工程师模拟黑客方式对Android App分别从程序/代码安全、调试安全、数据安全、加密算法安全、安全漏洞分析、验证码机制安全、身份鉴别安全、支付机制安全越权、传输协议安全、通用型接口漏洞检测等10大模块71个渗透测试项进行渗透分析,可覆盖200项+移动Android安全渗透测试点。

 iOS渗透测试:渗透技术工程师模拟黑客方式对iOS App分别从程序/代码安全、数据储存和隐私安全、认证安全 、代码质量和设置安全、网络通信安全、常见接口层安全漏洞等10大模块52个渗透测试项进行渗透分析,可覆盖100项+移动iOS安全渗透测试点。

SDK 渗透测试:渗透技术工程师模拟黑客方式对SDK-Android分别从程序/代码安全、数据安全、漏洞安全 、协议安全4大模块16个渗透测试项进行渗透分析,可覆盖50项+ 安全渗透测试点。

接口渗透测试:渗透技术工程师模拟黑客方式对业务接口进行分析,资产业务接口测试面覆盖:认证、校验、防重放、防转发等;移动业务功能数据层测试面覆盖:数据输入安全、数据输出安全、数据传输安全、数据储存安全等


加入收藏