手机银行客户端测评研究软件专业技术.docVIP

PAGE / NUMPAGES 作者：ZHANGJIAN 仅供个人学习，勿做商业用途 手机银行客户端测评研究-软件技术 手机银行客户端测评研究 谢学兵1 周亦敏1 张春柳2 1（上海理工大学 光电工程与计算机学院 上海 200093） 2（上海计算机软件评测重点实验室 上海 201112） 摘 要 手机银行客户端作为一种新型移动支付方式，它的安全问题一直受到多方面的关注。本文通过分析目前存在的手机银行客户端安全隐患，研究常用的移动应用软件测试方法，结合手机银行客户端的特殊安全要求，提出一种适合手机银行测评的测试方法。本文的测试方法通过对手机银行客户端进行针对性测试，发现手机银行客户端的安全问题，从而减少遭受外来攻击的风险,并通过实例来证明该测试方法的有效性和可行性，并介绍了手机银行客户端加固方法，来补充测试方法的不足之处。 关键词 安全隐患，测评方法，测评实例，加固技术 doi:10.3969/j.issn.1674-7933.2015.06.003 作者简介：谢学兵，男，1989 年生，学士，主要从事研究领域：信息安全测评、等级保护测评、嵌入式应用，Email ：[emailprotected] ； 周亦敏，副教授，上海理工大学物理实验室主任； 张春柳，工程硕士，工程经理。 0 引言 网上支付规模的飞速增长，淘宝网、京东商城等购物平台的出现，带给了人们不一样的购物选择，随着线上服务的与日俱增，手机支付的快捷和方便，逐渐成为人们消费付款的首选。然而绝大多数的人们对手机的安全没有足够认识，不注重对手机安全的保护。手机支付存在着巨大的利益，逐渐吸引着不法分子的目光，手机越来越容易遭受到外部攻击，其中手机银行作为手机支付中的一个重要组成部分更是如此。 目前对手机银行客户端的测试还没有形成一个比较完整的测试方法，在测试过程中，存在着测试盲点，更容易遭受攻击，本文研究目前普遍存在的手机银行客户端安全隐患，采用常用的应用软件测试方法，结合手机银行客户端一些自身特点，提出一种能够适用于手机银行测评的测试方法。 1 手机银行客户端安全隐患分析 移动银行（Mobile Banking Service）也可称为手机银行，是利用移动通信网络及终端办理相关银行业务的简称。手机银行是由手机、GSM短信中心和银行系统构成。在手机银行的操作过程中用户通过SIM卡上的菜单对银行发出指令后，SIM卡根据用户指令生成规定格式的短信并加密，然后指示手机向GSM网络发出短信，GSM短信系统收到短信后，按相应的应用或地址传给相应的银行系统，银行对短信进行预处理，再把指令转换成主机系统格式，银行主机处理用户的请求，并把结果返回给银行接口系统，接口系统将处理的结果转换成短信格式，短信中心将短信发给用户。 本文从不同系统不同版本的手机银行客户端安全威胁[1-3]中归纳出三类具有代表性的安全隐患： 1.1 登录安全 登录，是用户使用手机银行客户端的第一步。在过程中，用户会输入账号、登录密码或身份证信息等重要的隐私信息，之后再交由客户端软件与服务端进行通信。一旦用户的登录过程被攻击者监听或劫持，通信数据被截获或破解，则会导致用户账户信息被盗或银行存款被盗刷。 在登录安全中，主要存在两类安全隐患：一类是加密机制不完整或过于简单，容易遭攻击者劫持或破解；另一类是在通信过程中不对服务端身份进行校验，从而导致登录过程很容易被“中间人”攻击劫持。 1.1.1 加密机制 手机银行客户端的登录加密机制通常分为两种：一是使用 HTTPS 协议进行加密传输，二是使用 HTTP 方式进行传输，但采用自实现的加密机制来实现数据保护。 1.1.2 服务端证书校验 不论银行客户端使用的是何种登录加密机制，如果客户端在登录过程中不对服务端的身份（证书） 进行校验，就有可能“信任” 伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。 这种假冒服务端身份的攻击也被称为“中间人攻击”。 1.2 软件安全 移动端程序在打包发布后，攻击者通过逆向工具将安装文件反编译为工程文件，通过逆向分析可以获取程序开发的所有源代码。在渗透测试过程中由于程序包可以被破解，攻击者可以利用这个问题对移动应用发起白盒测试，提高漏洞探测的速度以及成功率。 对于想利用此问题发动钓鱼攻击的攻击者可以在程序中