移动金融行业安全现状分析及解决方案.docVIP

移动金融行业安全现状分析 2015年1月13日，央行印发《关于推动移动金融技术创新健康发展的指导意见》，强调移动金融是丰富金融服务渠道、创新金融产品和服务模式、发展普惠金融的有效途径和方法;第十二届全国人大三次会议上，李克强指出近几年“互联网+”对中国经济的推动产生了深远影响。 在种种有利背景之下，移动金融已经成为一片红海，移动金融开始出现井喷式发展，移动支付、手机银行、移动理财工具、手机购物客户端等各类移动金融工具纷纷涌现。然而移动金融工具在带来便利的同时，也暗藏风险。账户密码被窃取，手机绑定银行卡被盗刷，资金被转移，手机被植入木马病毒等安全问题层出不穷。 统计显示：曾经有安全机构对国内100家金融机构移动应用的安全性进行了统计，发现将近三分之一的移动金融应用拥有超过9个以上的安全漏洞。国内某大型应用开发商开发的手机银行更是被发现超过400个安全漏洞，其中137个为高危漏洞。越权访问、客户端敏感信息泄露、越权修改数据、应用功能设计缺陷、中间人攻击缺陷、登录设计缺陷、服务器端不安全配置等是移动金融存在的主要安全问题，其中高等风险漏洞就超过了一半以上。在移动金融发展的大背景下，金融数据丢失、网络攻击、移动客户端安全指数低、资金被盗等各种现象让金融企业防不胜防。在这种情况下，爱 加 密推出了移动金融支付安全解决方案，解决了移动金融行业的燃眉之急。 解决方案： （一）手机银行类App解决方案 A. 漏洞分析 1）数据存储安全性分析 2）账号、密码等敏感数据内存分析 3）证书安全、交易安全性分析 4）界面劫持与截取分析 5）服务器地址被盗取和篡改分析 6）钓鱼攻击、数据包截获分析 7）网络监听、键盘输入监听分析 8）内存修改、动态注入分析 9）手机银行安全认证体系整体安全检测分析 B. 应用保护 1).DEX三重保护 a. Dex加壳保护 b. Dex指令动态加载 c. 源码混淆保护 2).so文件加密（爱加密独有so文件加密保护技术） a.爱加密so文件进行优化压缩 b. 爱加密so文件源码进行加密隐藏 c．加密后so文件能够有效的防止IDA等工具逆向分析 C. 定制保护 1） 防止界面截取、输入法攻击引起的隐私信息泄露保护； 2) 防止解包、打包、源码转译 3) 源码优化 4) 本地储存加密； 5) 网络协议加固； 6) 移交安全性及交易安全性保护 7) 证书安全 D. 渠道监测 1）渠道数据监控 监控国内外428个App渠道信息，实时监控渠道相关信息 2）精准识别渠道正盗版 提供正版盗版App信息精准对比，反馈详细信息到用户后台 3）盗版App详情分析 分析项目涵盖所有路径文件及代码，清晰查看修改项目或第三方代码 4）一键生成报告 提供一键生成报告功能，全面记录App盗版分析数据 典型案例：平安天下通 描述：平安天下通是首款领先的金融行业即时通讯应用，具备即时通讯软件免费通讯、好玩易用等品质，在轻松社交的同时更不断提供各类金融产品/资讯/服务。 使用服务：爱加密DEX三重保护+so文件加密 +渠道监测+本地加密系统服务 A.保护需求： 防止反编译、防破解 防止二次打包 隐私保护 so库保护、 B. 解决方案 1）漏洞分析 a. 反编译、防破解分析 b. 源码混淆分析 c. 防二次打包分析 d. 账号密码安全分析 2）应用保护： a. DEX保护 b. 防二次打包保护 c. so库保护 d. 截屏保护 e. 键盘监听保护 3）渠道监测 a.每两天更新渠道监测数据，渠道下载数据监控 b.渠道版本监控、正版盗版识别 C.保护效果： 有效的减少App被反编译、被破解的风险，so库核心文件得到保护，账号密码泄露风险减少 6.1.3 移动支付类App解决方案 1. 漏洞分析 数据存储安全性分析 账号、密码等敏感数据内存安全分析 证书安全、数据包截获分析 界面劫持与截取分析 服务器地址被盗取和篡改分析 键盘输入监听内存修改、动态注入分析 钓鱼攻击、网络监听分析 2. 应用保护 1） DEX三重保护 A. Dex加壳保护 B. Dex指令动态加载 C. 源码混淆保护 2)so文件加密（爱加密独有so文件加密保护技术） A.对加密so文件进行优化压缩 B.对加密so文件源码进行加密隐藏 C.加密后so文件能够有效的防止IDA等工具逆向分析 3. 定制保护： 防止界面截取、输入法攻击引起隐私信息泄露； 防止解包、打包、源码转译以及源码优化 本地储存加密； 网络协议加固； 防止篡改支付链接 防止钓鱼欺诈 防止账号秘密窃取 防止恶意消费 4. 渠道监测 1）渠道数据监控 一站式监控国内外428个App渠道信息，实时监控各渠道相关数据信息 2）精准识别渠道正盗版 提供正版盗版App信息精准对比，并反馈详细数据信息到用户后台