移动支付安全的挑战与对策
2023-06-23
来源:好走旅游网
Cover Story封面报道I安全新知 移动支付安全的挑战与对策 文,程君 随着互联网金融的兴起,各种金融产品上线,通过 网络进行支付的企业越来越多,由于移动设备上的 个人信息很多,容易被窃取,导致恶意软件和黑色 产业跟随而来。早期以PC网络支付、手机短信验证 的两个维度模式验证,变成了以手机支付、手机短 信验证的一个维度模式,打破了多维度身份验证的 安全保障。 2014上半年,金山、腾讯、360纷纷发布第一季度移 动支付安全报告,就在前不久,阿里和360同时举 行移动支付安全的研讨会,使移动支付安全提上日 程,预示着2014年成为移动支付安全元年。 移动支付安全面临的威胁 伪■程序 伪冒程序的出现,跟整个系统架构有关。Android以 Java为上层界面架构语言,可生成中间语言,方便 了跨平台,然而Java的这个特性导致程序很容易被 修改添 ̄1]Opcode,重新打包回去。再加上Android 的开放性,没有统一针对第三方程序的认证签名, 导致针对支付程序的重打包篡改行为严重。国内访 l' ̄Google Market网络不便,导致第三方市场兴起, 然而第三方市场又往往审核监管不严格、不及时, 导致恶意程序泛滥。 系统漏洞 移动设备安装了支付程序就相当于一个电子钱包, 然而这个电子钱包不是放在保险柜中,而是放在 安全不可控制的系统里。例 ̄1]Android系统出现的 Master Key漏洞,可导致恶意程序伪冒支付程序; 短信欺诈漏洞导致第三方程序可以冒充任意号码 对本机发送短信;本地提权内核漏洞导致系统权 限被突破,可以读取应用程序数据、记录密码,同 时提权的程序还可以注入支付程序,读取其内存 数据。 社会工程 社会工程威胁主要包括短信欺诈,以及骗取个人 信息重置支付密码。对于短信欺诈,主要是冒充熟 人诈骗或者中奖信息诈骗;对于骗取个人信息重置 支付密码,主要是在获得信息后,补办手机卡,导 致支付验证信息发到补办的手机卡,或者重置支付 密码。骗取个人信息还可以申办信用卡,然后用信 用卡从网络支付。 支付环境 支付环境威胁主要包括不安全win和假冒网站。有 些免费Wi—Fi在局域网环境中非常容易被抓包,导 致密码泄漏。还有些用户可能从QQ或网站得到支 付链接,这种从第三方得到的信息,可能没有得到 支付平台的验证,导致被骗。 程序自身缺陷 由于程序自身设计缺陷,导致密码明文存储、 Cache使用时间过长、访问某一链接泄漏出密码, 或者可以修改交易价格等。这些都是程序自身逻辑 设计带来的缺陷,从而为移动支付带来安全隐患。 针对威胁的建议 针对伪一程序 可以加固自身程序,防止程序被修改,当程序或者 云端发现被修改后,拒绝支付。第三方市场和安全 应用可以提供伪冒程序鉴定功能,及时发现伪冒 Cover Story封面报道I安全新知 程序。针对小企业和个人,可以使用第三方加固程 企业。 序,或者通过第三方支付企业支付。 ・支付厂商:由于传统PC支付,移动短信确认的 二维支付体系变为一维支付体系,安全系数大大 针对系统漏洞 降低。这就导致了用短信明文发送支付验证码信 对于手机厂商或第三方ROM公司,及时更新操作 息不安全。可以采取其他支付验证手段,例如指 系统或提供patch ̄l-丁。对于比较严重的漏洞,如 纹、声音、手势笔迹、图形验证等,加强验证的表 果移动操作系统公司没有提供及时的更新,使用第 达复杂性,从而增加支付校验算法的复杂度。 三方安全公司提供的漏洞修复程序。 _针对个人:支付程序登录密码和支付密码不同 针对社会工程 对于伪冒短信,在移动支付前,应电话确认是否是 对方的请求,对于陌生账号汇款要慎重。不要相信 短信中的中奖信息,使用搜索引擎查找目标电话是 否是诈骗电话。 不要泄漏自己的银行卡和身份证信息,对于电话问 卷调查,要警惕是否是在套取个人信息。不要在第 三方不需要实名认证的网站填写自己的真实身份 信息。 针对支付环境 建议不要上无密码的公共Wi—Fi,更不要在公共 Wi—F吓 进行移动支付。针对假冒网站,我们在支付 时,一定看清支付网站的域名,安装具有能识别恶 意网址的杀毒软件。 针对程序自身缺陷 对于程序自身问题,在支付程序发布前,必须针对 I/0接口进行安全审计,及时发现不安全的存储、 加密和传输方式。同时加强程序员自身的安全编程 习惯,实践软件安全开发流程。 针对手机厂商、第三方市场、支付厂商和个人,我 还有以下安全建议。 _手机厂商:加强移动安全操作系统设计,例如 在bootloader中加强对系统boot.img的签名,类似 三星的KNOX安全套件的功能。提供一些以往需 要root或越狱才能提供的功能,例 ̄NiOS最近添加 的短信拦截。 _第三方市场:加强对程序提交的安全审核,及 时发现恶意软件和伪冒程序。对于发现的伪冒程 序或者针对移动支付的恶意软件应及时通知相关 于一般的常用密码,且应时常更改,以免被第三 方网站泄密。不要从第三方论坛下载未知软件, 以防下载的是伪冒程序或密码被键盘记录器记 录。手机丢失后应及时补办手机卡,同时更改支 付密码,废弃的手机应及时删除支付应用,要警 惕手机卡被第三方补办。 总结 移动支付安全取决于移动操作系统的安全,由于 Android系统设计的开放性及碎片化,导致了一系 列隐患。iOS系统由于对安全性考虑更周到和封闭 性,问题相对较少。不过,以上两个移动操作系统 都是国外平台,要想让移动支付更安全,还有必要 实现自己的移动操作系统或自主可控、可加固的移 动平台。iOS的安全设计以及三星的KNOX安全方 案都值得第三方ROM和自主移动操作系统参考。 移动支付安全不是凭借一个公司的力量就能做好 的,加强移动支付安全生态系统建设,努力打造从 上游手机制造商到第三方市场,到移动支付企业, 到安全公司,再到个人安全意识的移动支付安全生 态系统,才能真正做到保护移动支付安全。o ■ 程阿安里全君研。巴 究与集开团发无,线关安注全系部统高安级全安、全移专动与家嵌。从入事式 57