【行业新闻】数据加密是来营救移动支付安全危机 - 移动支付安全_指纹芯片_安全单元_三代Key_动态令牌芯片—杭州晟元芯片技术有限公司
您当前的位置:首页>关于晟元>企业新闻企业新闻

【行业新闻】数据加密是来营救移动支付安全危机

来源:          上传日期:2014-08-08

    随着智能手机的普及,移动支付方式也在智能手机之中变得愈加流行,手机银行客户端越来越为用户所知,很多人认为,既然是银行客户端就相当安全,担心安全问题,那是多余的。但是,据了解:部分的银行客户端加密机制并不完整,缺少检验服务器身份服务。不仅如此,业内人士一直认为“随机键盘输入”也存在安全问题。接下来就由信息安全方面的专家山丽网安来揪出一些较为常见的,存在于移动支付方面的问题,并提出些相应的对策。

  

  手机银行安全性整体堪忧

  

  如今手机银行客户端已经是作为网上交易的重要支付工具。如果其自身就存在安全方面的隐患甚至是存在安全漏洞,那么网上支付工具就有可能被黑客利用木马病毒进行攻击,这样将会造成网民银行信息泄露和财产损失。

  

  作为与移动支付安全息息相关的关键对象,手机银行客户端确实存在不小的安全隐患。日前,某手机安全中心发布国内首份针对16家主流银行手机客户端(APP)的评测报告——《手机银行客户端安全性测评报告》。经测试发现,少数手机银行客户端存在加密机制不完整,不校验服务器身份等安全隐患。在防范Activity劫持(Activity为安卓系统的一个提供给用户屏幕交互的应用程序组件)、防止进程注入、反盗版/防二次打包以及防止验证短信被劫持等方面,所有16款被检测的手机银行客户端均表现不佳。报告指出,受到安卓系统的体系限制,很多支付安全性问题难以靠手机银行客户端软件单独解决,银行类手机APP整体安全状况堪忧。

  

  上述报告针对工商银行、建设银行、招商银行、交通银行、中国银行、农业银行等中国16家主流银行的安卓手机客户端展开一次最全面的安全性评测。测试的主要内容包括:登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性的六个主要方面的三项具体测试。

  

  测试异常1:不校验身份或被“攻击”

  

  作为用户使用手机银行客户端的第一步,登录时因为要输入银行账号及密码等敏感信息,安全性尤为重要。在对16款银行客户端的登录机制安全性进行测评的过程中,手机安全专家发现了两类比较严重的安全隐患:一类是加密机制不完整或过于简单,很容易被攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验,从而导致登录过程很容易被“中间人攻击”所劫持。其中,有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式,极易被劫持或破解。

  

  根据测试发现,手机银行的认证因素存在一定的安全隐患,16款手机银行客户端软件采用的均是“账号密码+短信验证码”的伪双因素认证体系。这种认证体系在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。

  

  山丽网安提醒:无论银行方面采用何种的加密机制,如果不经过服务器的校验身份,那么都可能存在安全隐患。因为其中存在“信任”伪装身份的冒牌服务端,一旦连接到这种冒牌服务端上,你的用户密码信息就马上被窃取了,后果不堪设想。这种冒牌的服务端也常常被人称为中间人攻击。

  

  测试异常2:银行类APP极易被山寨

  

  安卓作为开放平台,攻击者可以较容易地使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码后,发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成了极其严重的安全威胁。

  

  山丽网安提醒:一般的手机银行客户端未能完全有效地防范逆向分析和二次打包,虽然一些客户端对自身签名进行了校验,但也很容易在重打包过程中被攻击者轻易篡改,起不到防止二次打包的作用。从而影响移动支付安全,造成意料不到的严重后果。

  

  测试异常3:手机支付病毒暴增

  

  移动安全实验室日前发布了《2014年上半年手机安全报告》(以下简称“报告”)。报告显示,Android手机病毒在经历了2012—2013年几何式高速增长之后,在2014年上半年逐步趋于平缓,同比增长7.9%。其中,手机支付类病毒进一步蔓延,上半年感染手机支付类病毒用户数达到693.4万,其中可拦截并转发用户支付短信验证码的手机病毒大规模增加,支付类病毒呈现出多种特征融合化发展的趋势。

  

  山丽网安提醒:随着二维码的流行走势,二维码病毒的感染范围逐渐变大,目前已经成长为病毒传播增长最快的渠道,而通过二维码病毒传播的比例已经达到9%。

  

  多模加密前来防护

  

  从以上情况来看,对于移动支付平台,无论是银行客户端自身的安全,还是外在的恶意软件侵袭,都对移动平台用户的数据安全造成很大的影响,尤其是恶意软件的危害,很多时候往往是致命的。它可以篡改收费信息,将收费改为免费,并窃取核心程序代码。想要保护移动支付安全,那就要对银行客户端或恶意软件等,亦或是对更深层、更核心的敏感数据本身来说,加密防护总是最好的选择。

  

  加密技术直接作用于数据本身,其防护的最大特点就是数据即使最终遭遇了泄漏危机,只要算法不被破译,数据还是被认为是安全的,而随着加密技术和加密算法的不断发展,破译这件事已变得越来越困难或者对于那些不法者而言越来越棘手了。而为了适应现代多样的加密需求,和安全环境,采用国际先进的多模加密技术则是其中最好的选择。

  

  多模加密技术采用对称算法和非对称算法相结合的技术,在确保加密质量的同时,其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术,从而进一步确保了加密防护的便利性和完整性(加密与格式无关)。