移动金融行业安全现状分析及解决方案.doc

移动金融行业安全现状分析2015年1月13日，央行印发关于推动移动金融技术创新健康发展的指导意见，强调移动金融是丰富金融服务渠道、创新金融产品和服务模式、发展普惠金融的有效途径和方法;第十二届全国人大三次会议上，李克强指出近几年“互联网+”对中国经济的推动产生了深远影响。在种种有利背景之下，移动金融已经成为一片红海，移动金融开始出现井喷式发展，移动支付、手机银行、移动理财工具、手机购物客户端等各类移动金融工具纷纷涌现。然而移动金融工具在带来便利的同时，也暗藏风险。账户密码被窃取，手机绑定银行卡被盗刷，资金被转移，手机被植入木马病毒等安全问题层出不穷。统计显示：曾经有安全机构对国内100家金融机构移动应用的安全性进行了统计，发现将近三分之一的移动金融应用拥有超过9个以上的安全漏洞。国内某大型应用开发商开发的手机银行更是被发现超过400个安全漏洞，其中137个为高危漏洞。越权访问、客户端敏感信息泄露、越权修改数据、应用功能设计缺陷、中间人攻击缺陷、登录设计缺陷、服务器端不安全配置等是移动金融存在的主要安全问题，其中高等风险漏洞就超过了一半以上。在移动金融发展的大背景下，金融数据丢失、网络攻击、移动客户端安全指数低、资金被盗等各种现象让金融企业防不胜防。在这种情况下，爱 加 密推出了移动金融支付安全解决方案，解决了移动金融行业的燃眉之急。解决方案：（一）手机银行类App解决方案A. 漏洞分析1）数据存储安全性分析2）账号、密码等敏感数据内存分析3）证书安全、交易安全性分析4）界面劫持与截取分析5）服务器地址被盗取和篡改分析6）钓鱼攻击、数据包截获分析7）网络监听、键盘输入监听分析8）内存修改、动态注入分析 9）手机银行安全认证体系整体安全检测分析B. 应用保护1).DEX三重保护a. Dex加壳保护b. Dex指令动态加载c. 源码混淆保护2).so文件加密（爱加密独有so文件加密保护技术）a.爱加密so文件进行优化压缩b. 爱加密so文件源码进行加密隐藏c加密后so文件能够有效的防止IDA等工具逆向分析C. 定制保护1） 防止界面截取、输入法攻击引起的隐私信息泄露保护；2) 防止解包、打包、源码转译3) 源码优化4) 本地储存加密；5) 网络协议加固；6) 移交安全性及交易安全性保护7) 证书安全D. 渠道监测1）渠道数据监控监控国内外428个App渠道信息，实时监控渠道相关信息2）精准识别渠道正盗版提供正版盗版App信息精准对比，反馈详细信息到用户后台3）盗版App详情分析分析项目涵盖所有路径文件及代码，清晰查看修改项目或第三方代码4）一键生成报告提供一键生成报告功能，全面记录App盗版分析数据典型案例：平安天下通描述：平安天下通是首款领先的金融行业即时通讯应用，具备即时通讯软件免费通讯、好玩易用等品质，在轻松社交的同时更不断提供各类金融产品/资讯/服务。使用服务：爱加密DEX三重保护+so文件加密 +渠道监测+本地加密系统服务 A.保护需求：1） 防止反编译、防破解2） 防止二次打包3） 隐私保护4） so库保护、B. 解决方案1）漏洞分析a. 反编译、防破解分析b. 源码混淆分析c. 防二次打包分析d. 账号密码安全分析2）应用保护：a. DEX保护b. 防二次打包保护c. so库保护d. 截屏保护e. 键盘监听保护3）渠道监测a.每两天更新渠道监测数据，渠道下载数据监控b.渠道版本监控、正版盗版识别C.保护效果：有效的减少App被反编译、被破解的风险，so库核心文件得到保护，账号密码泄露风险减少6.1.3 移动支付类App解决方案1. 漏洞分析1） 数据存储安全性分析2） 账号、密码等敏感数据内存安全分析3） 证书安全、数据包截获分析4） 界面劫持与截取分析5） 服务器地址被盗取和篡改分析6） 键盘输入监听内存修改、动态注入分析7） 钓鱼攻击、网络监听分析2. 应用保护1） DEX三重保护A. Dex加壳保护B. Dex指令动态加载C. 源码混淆保护2)so文件加密（爱加密独有so文件加密保护技术）A.对加密so文件进行优化压缩B.对加密so文件源码进行加密隐藏C.加密后so文件能够有效的防止IDA等工具逆向分析3. 定制保护：1） 防止界面截取、输入法攻击引起隐私信息泄露；2） 防止解包、打包、源码转译以及源码优化3） 本地储存加密；4） 网络协议加固；5） 防止篡改支付链接6） 防止钓鱼欺诈7） 防止账号秘密窃取8） 防止恶意消费4. 渠道监测1）渠道数据监控一站式监控国内外428个App渠道信息，实时监控各渠道相关数据信息2）精准识别渠道正盗版提供正版盗版App信息精准对比，并反馈详细数据信息到用户后台3）盗版App详情分析分析项目涵盖APK所有路径文件及代码，清晰查看修改项目或第三方代码4）一键生成报告提供一键生成报告功能，全面记录App盗版分析数据典型案例：首信易支付：描述：中国第一家独立第三方支付平台，是目前国内支持银行卡种最多、覆盖范围最广的支付平台。爱加密为首信易支付提供安全支持，保障支付安全和秘钥安全。 使用服务：爱加密DEX三重保护+so文件加密+定制保护+渠道监测A.保护需求：1）对dex加壳保护，防止被工具反编译破解2）对代码进行混淆处理，降低逆向分析的风险。3）防止APK被拆包后二次打包。4）服务端自动加密，支持API调用5）对软件进行自校验，保证自身的完整性。6）任何密钥都应该分散存储，防止被直接读取。B.保护方案：1) 漏洞分析a.反编译分析b.二次打包分析c.代码混淆分析d.支付安全分析2) 应用保护a.DEX加壳b.源码混淆c.防二次打包保护d.自动加密支持e.对软件进行自校验f.密钥分散存储3)渠道监测a监测渠道版本信息，包括盗版信息b正盗版分析C.保护效果：爱加密为该第三方支付平台提供安全加密服务，有效的减少了客户端被篡改的风险，时刻保护用户账号密码安全，保护用户财产安全。（二）移动支付类App解决方案1. 漏洞分析8） 数据存储安全性分析9） 账号、密码等敏感数据内存安全分析10） 证书安全、数据包截获分析11） 界面劫持与截取分析12） 服务器地址被盗取和篡改分析13） 键盘输入监听内存修改、动态注入分析14） 钓鱼攻击、网络监听分析2. 应用保护1） DEX三重保护A. Dex加壳保护B. Dex指令动态加载C. 源码混淆保护2)so文件加密（爱加密独有so文件加密保护技术）A.对加密so文件进行优化压缩B.对加密so文件源码进行加密隐藏C.加密后so文件能够有效的防止IDA等工具逆向分析3. 定制保护：9） 防止界面截取、输入法攻击引起隐私信息泄露；10） 防止解包、打包、源码转译以及源码优化11） 本地储存加密；12） 网络协议加固；13） 防止篡改支付链接14） 防止钓鱼欺诈15） 防止账号秘密窃取16） 防止恶意消费4. 渠道监测1）渠道数据监控一站式监控国内外428个App渠道信息，实时监控各渠道相关数据信息2）精准识别渠道正盗版提供正版盗版App信息精准对比，并反馈详细数据信息到用户后台3）盗版App详情分析分析项目涵盖APK所有路径文件及代码，清晰查看修改项目或第三方代码4）一键生成报告提供一键生成报告功能，全面记录App盗版分析数据典型案例：首信易支付：描述：中国第一家独立第三方支付平台，是目前国内支持银行卡种最多、覆盖范围最广的支付平台。爱加密为首信易支付提供安全支持，保障支付安全和秘钥安全。 使用服务：爱加密DEX三重保护+so文件加密+定制保护+渠道监测A.保护需求：1）对dex加壳保护，防止被工具反编译破解2）对代码进行混淆处理，降低逆向分析的风险。3）防止APK被拆包后二次打包。4）服务端自动加密，支持API调用5）对软件进行自校验，保证自身的完整性。6）任何密钥都应该分散存储，防止被直接读取。B.保护方案：1) 漏洞分析a.反编译分析b.二次打包分析c.代码混淆分析d.支付安全分析2) 应用保护a.DEX加壳b.源码混淆c.防二次打包保护d.自动加密支持e.对软件进行自校验f.密钥分散存储3)渠道监测a监测渠道版本信息，包括盗版信息b正盗版分析C.保护效果：爱加密为该第三方支付平台提供安全加密服务，有效的减少了客户端被篡改的风险，时刻保护用户账号密码安全，保护用户财产安全。