2014年第一期中国移动支付安全报告技术方案.docVIP

2014年第一期 中国移动支付安全报告 2014年月日 摘 要 关键词：手机、支付、漏洞、木马、钓鱼、恶意程序 目录 第一章 移动支付的现状与发展 1 第二章 手机漏洞与移动支付安全 3 一、 手机漏洞普遍存在 3 二、 移动支付相关漏洞举例 4 第三章 购物与支付类恶意程序 6 一、 手机恶意程序综述 6 二、 恶意程序传播途径 8 三、 典型盗号木马举例 9 四、 典型吸费木马举例 11 第四章 短信诈骗与支付安全 14 一、 诈骗短信综述 14 二、 伪基站短信诈骗 15 三、 诈骗短信举例 16 第五章 360移动支付解决方案 18 一、 盗版网银识别 18 二、 木马病毒查杀 19 三、 网络环境监控 19 四、 支付环境监控 20 五、 网址安全扫描 20 六、 二维码扫描监控 21 七、 短信加密认证 21 第六章 移动支付诈骗典型案例 23 一、 二维码暗藏木马 淘宝卖家频中招 23 二、 电子密码器升级，网银账户被盗刷 24 移动支付的现状与发展 中国互联网络信息中心CNNIC）发布截至2013年12月，国网民规模达6.18亿手机网民规模达5亿，占总网民数的81.0%用户规模达到1.25亿 与手机支付快速增长相伴的是各种与移动支付相关的应用的下载量激增。根据360手机助手的下载量统计及相关第三方数据估算，在国内，与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。其中，支付宝钱包占比高达58%，是所有手机网银客户端软件下载总量（占比27%）的两倍多。此外，与支付宝相关的其他各种应用的下载量也占比8%。支付宝在移动支付领域占有绝对优势的地位。此外，在校园、企业和公交系统中广泛使用的中国电信翼支付的下载量占比为3%，各种金融证券类应用的下载量占2%，安全支付控件的下载量占比1%。下图给出了支付及金融类手机应用下载量的详细比例分布。 不过，有必要说明的是，上图并没有显示出移动支付类应用市场的全部情况。随着微信的普及，微信支付的用户规模也相当可观。不过，由于微信并不是一款专门的支付类应用，而且微信支付与网银绑定的比率目前没有可靠的第三方统计的数字可以参考，故此在上图统计中没有计算在内。 目前，国内外各大银行推出的网银手机客户端应用产品多达170余款。在网银手机客户端的累计下载量统计中，建行手机银行（23%）、工行手机银行（19%）、交通银行（9%）、招行银行（8%）和农行掌上银行（8%）的下载量位居前五名。 在与金融和证券相关的手机应用累计下载量统计中，招商智远手机证券（22%）和广发手机证券（14%）排名前两位。 继银行卡支付，网上支付（PC端）之后，中国消费者已经快速进入了移动支付时代。不过，由于智能手机系统的某些先天性不足，移动支付安全一直受到手机安全漏洞和各类手机木马的威胁。此外，手机还是传统网上支付（PC端）的重要验证途径和消费通知途径，也是各类诈骗短信攻击的目标。因此，尽管目前所有的移动支付产品都非常重视支付的安全性，但移动支付的安全性问题仍然存在很多隐患，值得消费者和业内人士的高度关注。 手机漏洞与移动支付安全 漏洞的发现与修复，是智能手机操作系统安全性的根本保证。但与个人电脑不同，手机操作系统呈现显著的碎片化现象操作系统的发布与更新往往是由各个手机厂商独立完成的即便是安卓系统的原始开发者Google公司，也无法掌控所有手机的漏洞修复与版本更新。这就使得手机操作系统的安全性面临了更加复杂的挑战，手机漏洞也层出不穷。 2013年，360互联网安全中心针对较为流行的9大品牌、18款典型型号的安卓手机进行了测试分析。具体品牌及型号见下表： 厂商 型号 版本 厂商 型号 版本 厂商 型号 版本 Google　 Nexus S 2.3.6 中兴　 C N880 2.2.2 三星　 Galaxy S2 2.3.4 Nexus 4 4.2 N881F 4.0.4 Galaxy S3 4.0.4 华为　 C8650+ 2.3.6 HTC　 Wildfire S 2.3.5 酷派　 8150 2.3.7 Ascend Mate 4.1.2 One X 4.0.4 7295 4.1.2 LG　 Optimus P350 2.2 联想　 A65 2.3.5 索尼　 Xperia Arc S 2.3.4 Optimus P880 4.0.3 K860 4.2.1 Xperia SL 4.0.4 表 参与漏洞检测的9大手机品牌及18个具体型号 以上典型机型的系统版本主要为安卓2.x和4.x两大类，在出厂默认设置条件下对这些型号的手机进行测试分析后发现，安卓2.x版本中9款手机平均存在20个已知的安全漏洞，最少的是8个漏洞，而最多的则达到40个漏洞；安卓4.x版