移動金融行業(yè)安全現(xiàn)狀分析及解決方案

1、 移動金融行業(yè)安全現(xiàn)狀分析2015年1月13日，央行印發(fā)關于推動移動金融技術創(chuàng)新健康發(fā)展的指導意見，強調移動金融是豐富金融服務渠道、創(chuàng)新金融產品和服務模式、發(fā)展普惠金融的有效途徑和方法;第十二屆全國人大三次會議上，李克強指出近幾年“互聯(lián)網+”對中國經濟的推動產生了深遠影響。在種種有利背景之下，移動金融已經成為一片紅海，移動金融開始出現(xiàn)井噴式發(fā)展，移動支付、手機銀行、移動理財工具、手機購物客戶端等各類移動金融工具紛紛涌現(xiàn)。然而移動金融工具在帶來便利的同時，也暗藏風險。賬戶密碼被竊取，手機綁定銀行卡被盜刷，資金被轉移，手機被植入木馬病毒等安全問題層出不窮。統(tǒng)計顯示：曾經有安全機構對國內100家金融

2、機構移動應用的安全性進行了統(tǒng)計，發(fā)現(xiàn)將近三分之一的移動金融應用擁有超過9個以上的安全漏洞。國內某大型應用開發(fā)商開發(fā)的手機銀行更是被發(fā)現(xiàn)超過400個安全漏洞，其中137個為高危漏洞。越權訪問、客戶端敏感信息泄露、越權修改數(shù)據、應用功能設計缺陷、中間人攻擊缺陷、登錄設計缺陷、服務器端不安全配置等是移動金融存在的主要安全問題，其中高等風險漏洞就超過了一半以上。在移動金融發(fā)展的大背景下，金融數(shù)據丟失、網絡攻擊、移動客戶端安全指數(shù)低、資金被盜等各種現(xiàn)象讓金融企業(yè)防不勝防。在這種情況下，愛 加 密推出了移動金融支付安全解決方案，解決了移動金融行業(yè)的燃眉之急。解決方案：（一）手機銀行類App解決方案A. 漏

3、洞分析1）數(shù)據存儲安全性分析2）賬號、密碼等敏感數(shù)據內存分析3）證書安全、交易安全性分析4）界面劫持與截取分析5）服務器地址被盜取和篡改分析6）釣魚攻擊、數(shù)據包截獲分析7）網絡監(jiān)聽、鍵盤輸入監(jiān)聽分析8）內存修改、動態(tài)注入分析 9）手機銀行安全認證體系整體安全檢測分析B. 應用保護1).DEX三重保護a. Dex加殼保護b. Dex指令動態(tài)加載c. 源碼混淆保護2).so文件加密（愛加密獨有so文件加密保護技術）a.愛加密so文件進行優(yōu)化壓縮b. 愛加密so文件源碼進行加密隱藏c加密后so文件能夠有效的防止IDA等工具逆向分析C. 定制保護1） 防止界面截取、輸入法攻擊引起的隱私信息泄露保護；2

4、) 防止解包、打包、源碼轉譯3) 源碼優(yōu)化4) 本地儲存加密；5) 網絡協(xié)議加固；6) 移交安全性及交易安全性保護7) 證書安全D. 渠道監(jiān)測1）渠道數(shù)據監(jiān)控監(jiān)控國內外428個App渠道信息，實時監(jiān)控渠道相關信息2）精準識別渠道正盜版提供正版盜版App信息精準對比，反饋詳細信息到用戶后臺3）盜版App詳情分析分析項目涵蓋所有路徑文件及代碼，清晰查看修改項目或第三方代碼4）一鍵生成報告提供一鍵生成報告功能，全面記錄App盜版分析數(shù)據典型案例：平安天下通描述：平安天下通是首款領先的金融行業(yè)即時通訊應用，具備即時通訊軟件免費通訊、好玩易用等品質，在輕松社交的同時更不斷提供各類金融產品/資訊/服務。使

5、用服務：愛加密DEX三重保護+so文件加密 +渠道監(jiān)測+本地加密系統(tǒng)服務 A.保護需求：1） 防止反編譯、防破解2） 防止二次打包3） 隱私保護4） so庫保護、B. 解決方案1）漏洞分析a. 反編譯、防破解分析b. 源碼混淆分析c. 防二次打包分析d. 賬號密碼安全分析2）應用保護：a. DEX保護b. 防二次打包保護c. so庫保護d. 截屏保護e. 鍵盤監(jiān)聽保護3）渠道監(jiān)測a.每兩天更新渠道監(jiān)測數(shù)據，渠道下載數(shù)據監(jiān)控b.渠道版本監(jiān)控、正版盜版識別C.保護效果：有效的減少App被反編譯、被破解的風險，so庫核心文件得到保護，賬號密碼泄露風險減少6.1.3 移動支付類App解決方案1. 漏洞

6、分析1） 數(shù)據存儲安全性分析2） 賬號、密碼等敏感數(shù)據內存安全分析3） 證書安全、數(shù)據包截獲分析4） 界面劫持與截取分析5） 服務器地址被盜取和篡改分析6） 鍵盤輸入監(jiān)聽內存修改、動態(tài)注入分析7） 釣魚攻擊、網絡監(jiān)聽分析2. 應用保護1） DEX三重保護A. Dex加殼保護B. Dex指令動態(tài)加載C. 源碼混淆保護2)so文件加密（愛加密獨有so文件加密保護技術）A.對加密so文件進行優(yōu)化壓縮B.對加密so文件源碼進行加密隱藏C.加密后so文件能夠有效的防止IDA等工具逆向分析3. 定制保護：1） 防止界面截取、輸入法攻擊引起隱私信息泄露；2） 防止解包、打包、源碼轉譯以及源碼優(yōu)化3） 本地儲

7、存加密；4） 網絡協(xié)議加固；5） 防止篡改支付鏈接6） 防止釣魚欺詐7） 防止賬號秘密竊取8） 防止惡意消費4. 渠道監(jiān)測1）渠道數(shù)據監(jiān)控一站式監(jiān)控國內外428個App渠道信息，實時監(jiān)控各渠道相關數(shù)據信息2）精準識別渠道正盜版提供正版盜版App信息精準對比，并反饋詳細數(shù)據信息到用戶后臺3）盜版App詳情分析分析項目涵蓋APK所有路徑文件及代碼，清晰查看修改項目或第三方代碼4）一鍵生成報告提供一鍵生成報告功能，全面記錄App盜版分析數(shù)據典型案例：首信易支付：描述：中國第一家獨立第三方支付平臺，是目前國內支持銀行卡種最多、覆蓋范圍最廣的支付平臺。愛加密為首信易支付提供安全支持，保障支付安全和秘鑰安

8、全。 使用服務：愛加密DEX三重保護+so文件加密+定制保護+渠道監(jiān)測A.保護需求：1）對dex加殼保護，防止被工具反編譯破解2）對代碼進行混淆處理，降低逆向分析的風險。3）防止APK被拆包后二次打包。4）服務端自動加密，支持API調用5）對軟件進行自校驗，保證自身的完整性。6）任何密鑰都應該分散存儲，防止被直接讀取。B.保護方案：1) 漏洞分析a.反編譯分析b.二次打包分析c.代碼混淆分析d.支付安全分析2) 應用保護a.DEX加殼b.源碼混淆c.防二次打包保護d.自動加密支持e.對軟件進行自校驗f.密鑰分散存儲3)渠道監(jiān)測a監(jiān)測渠道版本信息，包括盜版信息b正盜版分析C.保護效果：愛加密為該

9、第三方支付平臺提供安全加密服務，有效的減少了客戶端被篡改的風險，時刻保護用戶賬號密碼安全，保護用戶財產安全。（二）移動支付類App解決方案1. 漏洞分析8） 數(shù)據存儲安全性分析9） 賬號、密碼等敏感數(shù)據內存安全分析10） 證書安全、數(shù)據包截獲分析11） 界面劫持與截取分析12） 服務器地址被盜取和篡改分析13） 鍵盤輸入監(jiān)聽內存修改、動態(tài)注入分析14） 釣魚攻擊、網絡監(jiān)聽分析2. 應用保護1） DEX三重保護A. Dex加殼保護B. Dex指令動態(tài)加載C. 源碼混淆保護2)so文件加密（愛加密獨有so文件加密保護技術）A.對加密so文件進行優(yōu)化壓縮B.對加密so文件源碼進行加密隱藏C.加密后s

10、o文件能夠有效的防止IDA等工具逆向分析3. 定制保護：9） 防止界面截取、輸入法攻擊引起隱私信息泄露；10） 防止解包、打包、源碼轉譯以及源碼優(yōu)化11） 本地儲存加密；12） 網絡協(xié)議加固；13） 防止篡改支付鏈接14） 防止釣魚欺詐15） 防止賬號秘密竊取16） 防止惡意消費4. 渠道監(jiān)測1）渠道數(shù)據監(jiān)控一站式監(jiān)控國內外428個App渠道信息，實時監(jiān)控各渠道相關數(shù)據信息2）精準識別渠道正盜版提供正版盜版App信息精準對比，并反饋詳細數(shù)據信息到用戶后臺3）盜版App詳情分析分析項目涵蓋APK所有路徑文件及代碼，清晰查看修改項目或第三方代碼4）一鍵生成報告提供一鍵生成報告功能，全面記錄App盜版分析數(shù)據典型案例：首信易支付：描述：中國第一家獨立第三方支付平臺，是目前國內支持銀行卡種最多、覆蓋范圍最廣的支付平臺。愛加密為首信易支付提供安全支持，保障支付安全和秘鑰安全。 使用服務：愛加密DEX三重保護+so文件加密+定制保護+渠道監(jiān)測A.保護需求：1）對dex加殼保護，防止被工具反編譯破解2）對代碼進行混淆處理，降低逆向分析的風險。3）防止APK被拆包后二次打包。4）服務端自動加密，支持API調用5）對軟件進行自校驗，保證自身的完整性。6）任何密鑰都應該分散存儲，防止被直接讀取。B.保護方案：1) 漏洞分析a.反編譯分析b.二次打包分析c.代碼混淆分