MyException - 我的异常网
当前位置:我的异常网» 互联网 » 金融类APP保险防护,做好风险检测是关键

金融类APP保险防护,做好风险检测是关键

www.MyException.Cn  网友分享于:2013-11-06  浏览:0次
金融类APP安全防护,做好风险检测是关键
近年来,伴随移动支付的迅猛发展,诸多金融机构也纷纷涉水,跟随着互联网发展的大潮纷纷推出了各自的金融客户端应用程序,即移动金融APP。随后借助移动互联技术的便利性,资金转账、炒股、基金买卖、跨国支付等金融操作统统在手机上就可快速实现。

从银行业金融机构及第三方支付机构的交易规模来看,2016年移动金融支付的规模再创新高,银行业金融机构移动支付全面交易金额达到了157.5万亿,反映了移动支付等移动金融体系在用户市场中的普及呈现出了高速增长的趋势。
然而伴随着金融生活的便捷性,移动金融支付的安全问题也开始不断爆发:钓鱼扎骗、信息泄露、资金盗取等问题屡见报端。
由于系统平台自身的局限性,大部分手机银行APP均存在着一系列高低不等的风险漏洞,海云安移动安全专家认为,这些漏洞常常引发病毒木马程序注入、重要页面劫持、非法权限控制等风险行为,使得用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取,或将窃取来的用户个人敏感信息进行出售,进而引发后续的一系列电信扎骗问题。种种风险事件案例,均体现出了移动金融类APP自身防御手段较弱,易被破解,安全性较低的现状。

以手机银行为例,部分APP客户端可能存在以下问题:
1、交易数据可被篡改:手机银行APP在运行过程中,用户进行转账、汇款等交易时的账号,开户行等敏感数据信息在写入移动终端内存时,可被黑客利用技术手段进行篡改,使得原本要转给亲友或企业的资金被转入黑客指定的账户。
2、关键Activity组件容易被劫持:手机银行APP关键组件不具备防止进入后台或提示用户等相关功能,黑客可以支付界面进行劫持替换,用户的敏感数据存在被窃取的风险。黑客可以在本地监听用户的状态,当用户登陆或者输入交易密码时,弹出伪造的界面诱骗用户输入正确的账号口令,从而窃取用户信息。
3、抗逆向分析能力不足:通过使用反编译工具、反汇编软件对手机银行APP进行反编译,发现手机银行APP可被反编译并且泄露出大量有效代码。黑客能够通过反编译,在客户端程序中植入木马、恶意代码以及广告等。客户端程序如果没有自校验机制的话,黑客可以通过篡改客户端程序窃取手机用户的隐私信息。
4、能够被重新编译二次打包:对手机银行APP进行反编译,通过修改代码、XML、资源文件并对其重编译二次打包。黑客通过在手机银行APP程序中植入恶意代码或广告等, 窃取手机用户的资金或隐私信息。  
5、可以进行动态调试:手机银行APP可以通过GDB、IDA等调试器进行动态调试,黑客可利用GDB或IDA等调试器跟踪运行程序,并且执行查看、修改内存中的代码和数据等行为,从而获取用户的敏感信息。
6、代码允许任意备份:手机银行APP代码允许任意备份,黑客通过备份应用程序获得用户的敏感信息。
7、在发布版本中留存测试用的组件或账号信息:一些手机银行APP在发布版中留存了测试用的组件或账号信息,直接暴露服务器接口的调用参数。
纵观上述的各类风险问题,越发凸显出在APP开发过程中,开展全面、深度安全测试评估工作的重要性!海云安拥有国内首套移动应用安全风险评估系统(MARS),能够全面检测APP安全漏洞,快速应对潜在风险。首先是检测平台的全面性,海云安MARS系统,可以针对安卓、IOS、微信、H5等多个平台开展,为移动金融业务在各渠道平台上的运营提供全覆盖式的安全检测。

其次在检测方向上,MARS系统针对移动金融业务的客户端、通信链路及服务器端等重要组成部分开展全面深度风险检测,快速输出全方位管理/技术双报告。而在系统的标准性方面,海云安MARS产品对标能力强,符合《金融服务移动应用信息安全指南》等移动应用安全标准,全面覆盖常规基准、行业标准及监管要求等。         

文章评论

编程语言是女人
编程语言是女人
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
我是如何打败拖延症的
我是如何打败拖延症的
老程序员的下场
老程序员的下场
每天工作4小时的程序员
每天工作4小时的程序员
程序员应该关注的一些事儿
程序员应该关注的一些事儿
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
程序员和编码员之间的区别
程序员和编码员之间的区别
鲜为人知的编程真相
鲜为人知的编程真相
为什么程序员都是夜猫子
为什么程序员都是夜猫子
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
程序员必看的十大电影
程序员必看的十大电影
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
程序员都该阅读的书
程序员都该阅读的书
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
一个程序员的时间管理
一个程序员的时间管理
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
中美印日四国程序员比较
中美印日四国程序员比较
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
10个调试和排错的小建议
10个调试和排错的小建议
 程序员的样子
程序员的样子
总结2014中国互联网十大段子
总结2014中国互联网十大段子
漫画:程序员的工作
漫画:程序员的工作
Java程序员必看电影
Java程序员必看电影
代码女神横空出世
代码女神横空出世
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
程序员的鄙视链
程序员的鄙视链
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有