超市购物完后我们都可以用什么来付款?有付现金的,有刷信用卡的,而如今还有扫微信的。现在去银行,如果您是新建账号,大多数银行工作人员都会问一句“需要给您同时开下手机银行么”。
智能移动终端与移动互联网的快速发展,使得金融也开始步入“移动”时代。不用带现金、不用带一堆银行卡,只要拿着手机,刷刷即付款,够简单——骇客们也这样认为。移动金融给人们生活带来便捷的背后,则是一场围绕着“安全”的暗战。
“洛克蠕虫”、“银行悍匪”等银行支付类病毒的出现,专门针对手机银行端盗取用户账号密码,让人们发现移动金融同样面临严峻的安全风险。
用户在打开移动金融APP,登录相关支付界面时,很可能由于遭遇恶意攻击者所发起的界面劫持攻击,而将自己的网银账号密码“拱手相送”。在这里,恶意攻击者仿冒移动金融客户端界面,实施了钓鱼欺诈。还有的恶意攻击者,会对移动金融APP的安装包进行二次打包操作,将病毒木马程序打包进移动金融应用里,用户一旦运行了这些被二次打包过的移动应用安装程序,就会引狼入室。恶意攻击者还会监听用户的键盘操作,进行内存修改、动态注入;或者盗取相关服务器地址,篡改存档信息;截取安全认证证书以及网络中所传输的数据包等等。
针对移动金融所面临的安全问题,中国人民银行、中国银行业监督管理委员会制定了一系列移动金融安全规范和安全评估要求。同时还需要借助技术手段,从根本上杜绝移动金融支付所面临的安全风险,例如键盘防止输入法攻击、监听短信,窃取通话记录,读取手机中安装的购物客户端、银行客户端等等。
专注于移动应用安全的北京智游网安科技有限公司所推出的核心产品爱加密,是国内专业的移动应用保护平台,能够为手机银行、移动金融支付等提供定制化的安全保护服务。
爱加密可以根据客户需求提供专业的人工安全分析服务,该服务主要从二次打包防护安全、敏感数据安全、Log日志信息安全、支付安全、存储数据安全、源码内部HTTP协议请求安全、网络传输安全、源码安全、权限安全、so文件使用安全、资源文件安全、界面劫持安全、录屏截屏安全等方面针对不同类型的应用进行人工安全分析。
爱加密还可以对安卓系统里的DEX文件进行加壳保护,有效防止所有静态调试器对APK进行破解。而对于诸如Dex2jar、Apktool一类的逆向工具,由于其主要是线性读取字节码并解析,所以爱加密通过对DEX文件加入花指令生成无效字节码,引起反编译工具的字节码解析失败,实现对DEX文件的安全防护。
另外,爱加密能够对资源文件指纹签名进行验证保护,防止资源文件被篡改;对APK进行防二次打包保护,防止APK被使用非法手段修改替换文件后进行二次打包;其所提供的防调试器保护则可以阻止Zjdroid、 APK改之理、Ida等调试器工具对应用进行非法破解。而对于移动应用里的SO文件,爱加密可以实现对加密的SO文件进行优化压缩,加密隐藏SO文件源码,有效防止逆向工具分析。
对于内存数据爱加密同样能够提供专业的防护,制止内存调试,双重方案阻止通过Dump获取源码,保护内存不被修改。爱加密还提供用于本地数据加密的SDK,开发者可以借此对其应用存储在本地的数据进行保护。APP运行时所加载内存中的数据爱加密也能够实施保护,防止其遭遇窃取、篡改等危险。而爱加密所提供的“爱加密虚拟键盘SDK”,则能有效防范键盘被非法程序进行监听,从而窃取账号密码等隐私信息。
爱加密还可以实施截屏防护,通过人工安全分析与安全协议开发文档对用户通信信息进行加密;一键清除源码中的Log(开发日志信息)文件,防止日志暴露敏感信息,提高程序运行效率;一键优化加密后应用,减少加密后增大的源码包体积。
在这个新互联网安全时代,移动金融所蕴含的巨大利益,使其成为恶意攻击者的重点关注目标。爱加密这类移动安全产品,从技术层面多维度的为移动金融提供安全防护。在这场移动金融的安全暗战中,正义必将获得胜利!
