移动支付安全的研究与实践.pdf

360对移动支付安全的 研究与实践 360移动支付安全研究中心 提纲 移动支付的现状与发展 移动支付面临的风险 360移动支付解决方案 提纲 移动支付的现状与发展 移动支付面临的风险 360移动支付解决方案 手机支付用户规模达到1.25亿 支付及金融类手机应用下载统计 网银客户端下载统计 金融类手机应用下载统计 提纲 移动支付的现状与发展 移动支付面临的风险 360移动支付解决方案 移动支付风险来自哪里？ 系统漏洞 恶意软件（木马、二次打包、假冒） 移 恶意二维码 动 支 欺诈短信 付 网络劫持 系统漏洞与移动支付安全 70%的手机漏洞由厂商定制产生 手机漏洞威胁支付安全 漏洞类型 漏洞危害 涉及机型数 涉及机型比例 检出漏洞个数 恶意程序可在用户不知情的情况下在后台 后台消息 18 100% 70 向指定号码发送消息 恶意程序可在不改变正常程序签名的情况 签名漏洞 18 100% 18 下篡改这些程序 短信欺诈 恶意程序可向机主手机发送欺诈短信 17 94% 57 恶意程序可以在后台静默安装，用户不知 静默安装 4 22% 7 情。 2013年7月 ，Bluebox公司曝光了一个严重的签名 2013年7月下旬至今，360互联网安全中心共截获利用 漏洞。该漏洞使99%的安卓设备面临巨大风险：黑客 该漏洞实施攻击的手机木马14886个。这类使用了合法 可以在不破坏APP数字签名的情况下 ，篡改任何正常手 签名的木马会导致手机隐私被窃、自动向通讯录联系人 机应用 ，并进而控制中招手机 ，实现偷账号、窃隐私、 群发诈骗短信及私自发送扣费短信。在这些木马中，就 打电话或发短信等任意行为 ，从而使手机瞬间沦为 有大量木马是被篡改后的第三方支付软件或网银客户端 “肉鸡”。该漏洞也被业界公认为史上最严重的安卓 软件。一旦感染此类木马，用户的账户密码就会面临被 系统签名漏洞。 盗威胁。 挂马漏洞致使点击网址即中招 2013年9月 ，安卓系统WebView开发接口引发的挂马