移动金融发展存在信息全分析及应对策略分析.doc

移动金融发展存在信息安全分析及应对策略分析 2014年初，乌云发布紧急预警称，淘宝、支付宝在认证上存在安全隐患，黑客可以直接利用该漏洞登陆用户淘宝、支付宝账号。2014年4月，用户曝出微信支付存在漏洞。该名用户在使用滴滴打车时，显示“系统繁忙，请稍后再试”， 重复付款7次无果后使用现金支付，事实上该笔资金已经到了出租车师傅处。2014年，有一家银行名为“E支付”的业务被爆出漏洞大，付款不用密码。 随着移动互联网和智能手机的快速发展，手机端金融业务的交易量与支付额快速提升，移动金融成为互联网金融最具成长力的组成部分。各家银行纷纷推出了包括手机银行在内的形式丰富的各类移动金融应用，面向不同人群与场景，提供灵活便捷的移动金融服务。但在移动金融快速发展的同时，其涉及系统和信息的安全问题越来越突出。 前瞻产业研究院《中国移动金融3.0系列报告之商业银行移动金融战略创新与趋势前瞻》报告显示：2014年，在移动支付井喷式发展的同时，风险形势更为严峻。10%的被访者曾遭遇过网上交易诈骗，比2013年提高了4个百分点；遭遇过网络交易诈骗的受访者中约六成被骗金额低于500元，有8%的人损失超过5000元。 2014年Q1，移动金融相关的手机病毒样本量达12万份，造成经济损失达7500万元。其中比较具有代表性的为“银行悍匪”的病毒，央视曾经曝光其高度模仿真正的手机银行软件，通过钓鱼方式获取用户输入的手机号、银行账号、身份证号、密码等信息，并将信息传送到黑客指定服务器，然后轻而易举转走用户账户里的资金。 下面就结合移动金融相关报告对移动金融发展存在信息安全问题及应对策略进行分析。 一、移动金融应用可能面临的信息安全风险 从技术的角度来观察，一个典型的商业银行移动金融应用，整个系统主要包含客户端、网络通信、应用服务端三大部分，系统可能面临的安全风险主要也体现在这三个环节。 1、客户端安全 (1)客户端应用程序自身的风险。由于目前智能手机尤其是android手机的生态环境较为开放，权限控制灵活，应用分发渠道众多，而android应用又是基于java语言开发，具有易反编译、易修改等特点。android应用自身可能面临诸多风险，包括如下几方面： 被反编译。盗版者通过对应用进行反汇编、反编译获取应用核心代码，并加以利用。 被篡改、盗版等。如动态注入外挂、木马等恶意内容;盗版者通过破解，向应用添加外挂、木马、病毒等恶意内容，窃取用户的账户密码等隐私信息。 被非法植入广告代码。如盗版者通过替换、植入的形式，在应用中捆绑第三方广告代码，获取非法收入。 动态调试，获取或修改内存数据。用户通过调试工具，在应用运行过程中修改内存数据。 取得root权限，获取或修改数据存储文件。用户通过数据库管理工具，修改应用保存的数据库文件。 (2)基于仿冒应用的钓鱼欺骗。通过仿冒正版应用诱骗用户安装，进而窃取用户输入的账号、密码、身份证号、交易内容等敏感信息。 (3)基于短信、网站欺诈的钓鱼欺骗。不法分子通过伪造或者仿冒银行专用短信号码，向客户发送类似于程序升级、客户某些设置过期需要修改之类的短信，诱导客户前往钓鱼网站输入登录名、密码、卡密码、动态设备密码等信息，然后同步使用客户的账号、密码来登录应用，非法获利。 (4)界面劫持。病毒或者木马程序在后台检测到客户启动金融类APP时，弹出一层透明的界面遮罩到其操作界面上层。当客户输入用户名密码时，以为是在金融机构发行的正版APP界面上输入，实际上则是被非法软件截获。 (5)“撞库”攻击。2014年12月25日，乌云漏洞平台曝出：大量包括用户的账号、明文密码、身份证、邮箱、手机号等在内的12306用户数据在互联网上疯狂传播。由于此事件涉及用户信息安全、账号财产安全等问题，在短时间内引起高度关注。据相关专家分析，此次泄露的信息极有可能是黑客利用“撞库”的方式整理后形成。所谓“撞库”就是黑客先攻破一些防护手段不强的小网站，获得大量的用户名和密码，然后利用用户习惯于在不同网站共用一套用户名和密码的特点，将获得的用户名和密码在其他网站(如12306)进行大规模自动化尝试。 对于一般的android应用程序，借助类似于自动化测试平台录制脚本的技术手段，也是可以利用“撞库”方式尝试攻击的。 (6)暴力登录尝试。暴力登录的初级版本是利用攻击程序或者脚本，固定登录用户名，自动化尝试可能的密码组合，直到正确为止。但一般的应用都限制了登录密码连续输错的次数，当密码连续输锚超过一定次数后，密码会被临时锁定。暴力攻击还演化出一种新方式：固定一个常用密码，枚举所有可能的用户名，直到成功。 (7)外联风险。开放是互联网的一大特性。很多移动金融应用为了充分整合外部资源，或以APP集成、Wet接入的方式引进了不少第三方应用或者服务。当第三方应用出现安全漏洞时，对于集成它的