年底购物狂欢,移动支付安全不容忽视

对于网购一族而言,年底可真是一个败家剁手的好季节啊。双11败家的钱还没还上,双12又来了,双12刚走了,圣诞促销、元旦促销、春节促销、情人节各种节日促销又来了,败家根本停不下来啊。但是在任性败家的时候,你发现了潜伏在你周围的危险了吗?尤其是对于手机购物一族,败家前看好手机钱包才是最重要的。

先来看看这篇 “金融支付类移动端的安全防范策略分析”报告。(摘自互联网金融支付安全联盟第四期期刊,其联盟会员“爱加密”提供内容)

正文:

移动支付是相对于PC端支付的一种新型支付方式,是借助移动终端(手机居多)为载体进行的一种支付方式。相对于PC端支付,移动支付具有便捷、快速等特点,这种便捷性使得移动支付成为一种新的趋势。2014年第二季度,全国共办理非现金支付业务150.38亿笔,金额456.20万亿元,其中,移动支付业务9.47亿笔,金额4.92万亿元,同比分别增长1.55倍和1.37倍,移动支付业务继续保持高位增长。

移动支付应用大概分四类:

手机银行客户端。目前大多银行都有自己的客户端,根据360互联网安全中心《中国移动支付安全报告》显示,市场有170家手机银行客户端,下载总量达1.08亿,其中下载量前五的分别是建行手机银行,工行手机银行,交通银行,招商银行,农行掌上银行。

第三方支付应用。这一类应用以支付宝、财付通等具备一定实力和信誉保障的第三方独立机构为代表,此类支付应用占去很大的市场份额。以手机支付宝(即支付宝钱包)为例,截止2013年11月13日,支付宝手机支付用户超1亿,从2014年3月以来,支付宝每天的移动支付笔数超过2500万笔。

电信运营商。以中国移动为例,中国移动开通手机支付,方便用户进行缴纳话费、水费、电费、燃气费及有限电视费等,同时还开通手机钱包,将日常生活中使用的各种卡片应用(如银行卡、公交卡等)装在在具有NFC功能的手机中,实现手机变钱包的功能。

其他含支付功能模块的手机应用,如电商类、团购类、理财类应用。对这些应用来说,支付并不是其核心功能,但支付模块却是其产品中不可缺少的功能。

移动支付应用安全现状:

移动支付快速发展的背后暗藏危机。根据调查, 2014年第一季度支付类应用共364款,共有320款应用被植入恶意病毒代码。五大购物支付类应用(支付类、电商类、团购类、理财类、银行类)中,每一类均存在大量被二次打包的现象,不少手机支付购物类APP的非官方版本被植入了病毒代码。

(数据来源:艾媒咨询)

常见移动支付应用攻击方式:

系统使用键盘和输入法攻击

用户在使用手机支付的时候都会使用键盘和输入法输入账号信息和密码。黑客就可以通过对系统输入法的攻击,达到对支付应用内部输入框数据的窃取。

界面截取

用户在进行支付输入密码的时候,密码输入框信息为“*”,但在实际上在触发键盘的瞬间,大概1秒的时间,会显示输入的具体数字或者字母,黑客可以对界面进行实时监控,利用这1秒的时间截取屏幕,获取密码。

储存本地数据窃取、用户隐私窃取

黑客可以利用技术手段获取手机本地的数据,用户隐私,如通讯录、账号信息等。

反编译源码进行钓鱼攻击

黑客可能会对应用进行反编译、获取源码、修改源码、嵌入病毒、再进行打包签名,做一个和原应用一样的应用,而这个新应用里包含了如扣费、窃取隐私一类的病毒,而用户很难发现。

网络交互协议抓取

就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全,但往往被别有用心之人用来网络作弊。

面对如此严峻现状,我们该如何保障移动支付应用安全?

保障移动支付安全,需要移动支付链的各方参与者共同维护,包括开发者、政府、应用渠道、安全服务商和用户。

开发者:从源头保护应用

开发者是移动支付的源头,从源头上保护应用安全,是每个开发者的义务,尤其在研发应用之时,开发者需要从技术角度对应用进行保护,从根本上保护应用安全。

1) 保护源码,保护Linux动态库以及存放在assets下的网页文件的安全。对于移动支付应用最重要的so文件,开发者尤其需要重视,可以借助第三方的安全服务商进行加密保护。

2) 保护数据,包括本地数据存储安全和账号密码等敏感数据内存安全

3) 保证证书安全

4) 防止服务器地址被盗取和篡改

5) 防止钓鱼攻击、网络监听

2. 政府:出台行业标准,规范应用基准

目前,移动支付行业的法律法规不健全;加密标准和加密算法也不够规范;行业内缺乏统一标准;这些都需要相关部门和行业来共同制定实施,保障支付安全。伴随着移动支付的爆发式增长,监管政策亟待增强。

3. 应用市场:加强审核

应用市场是用户进行应用下载的主要渠道,对提交应用市场的应用进行安全审核能有效的降低恶意应用流向用户的数量,因此,应用市场加强审核是保障支付应用安全的重要一环。

4. 安全服务商:提供安全快捷、全方位的安全服务

目前,市场上有多种为移动应用提供安全服务的厂商,但是能够满足移动金融支付类应用高要求、高防护、高级别需求的专业移动安全服务厂商并不多,     作为关系着用户个人财产的重要工具,移动支付类应用必须需要更为专业、更为安全的服务,如立体化的加密服务、漏洞检测、安全评估等,这类型的安全服务商以爱加密为代表,在整个移动支付链上有着重要的作用,能有效保障移动支付的安全。移动支付安全是一个广而深,且不断动态提升的技术领域,希望有更多安全服务商参与进来,共同研究与促进移动金融安全的进一步发展。

5. 用户:正规渠道下载应用,提高安全意识

在渠道的选择上,尽量选择大型可信的市场,选择安全放心口碑较好的下载平台,或直接在各大知名的官网进行下载,务必确保网址链接的准确性。

结论:

一直以来,机遇和危险并存。移动支付在带给我们便利的同时,同样也孕育着风险。保障移动支付安全是保障移动金融支付发展的前提,要保障移动支付的安全,必须要移动支付链上各方共同维护,加强安全意识,加强风险防范机制,提升移动支付风险管理水平,保障移动支付安全

时间: 2024-10-17 17:48:28

年底购物狂欢,移动支付安全不容忽视的相关文章

微信公开课(北京站)速记 微信、微信支付、O2O的定义与关联

本文为4月29日微信公开课(北京站)微信产品部演讲全文速记,讲述了微信官方对微信.微信支付.O2O的定义与关联等问题的看法与观点. 作者:微信产品部 刘涵涛 吴毅 去年夏天有一个全民打飞机的盛况,这实际上是微信的第一款社交类手游,它通过微信大平台的海量用户,一上线之后就有过亿的用户,甚至在淘宝上面都有代客打游戏的服务,通过这个游戏大家突然想到,微信以前是一个沟通工具,微信竟然也可以玩儿,甚至出现了这样一个段子,如果要自己的排行榜排在前面,最简单的方法是把玩这个游戏的好朋友全部踢掉. 微信红包大家

“流支付”掀起互联网支付创新浪潮,SAK支付白皮书揭秘

比特币,一个互联网技术与货币发行相结合的产物,带给我们区块链技术和DAC(Distributed Autonomous Corporation分布式自治系统)思想.鲨鱼币(简称SAK)的诞生是基于比特币的技术原理,并在支付上更便捷丶更快速,交易的确认时间由比特币的10分钟左右缩短到20秒左右. 自比特币诞生以来,加密货币在全球形成了蓬勃发展的趋势.加密货币的生产丶交易丶支付丶兑换四个环节在技术上形成了完整的支持,为加密货币的应用提供了良好的技术基础.但是对于加密货币的发展定位,还没有一个明确的方

盲目出炉的支付场景 到底有多少是鸡肋?

当下,花样百出的移动支付已经席卷了大众生活的方方面面.以手机.可穿戴设备等移动智能终端为基础,多个移动支付应用在疯狂地攻城略地,刷足了存在感.尤其是支付宝和微信支付之间的红包大战,彻底点燃了大众使用移动支付的热情.出门不带钱包,手机走遍天下已经成为现实.但移动支付应用似乎还不满足,仍然在支付场景上做文章.不断出炉的支付场景在登上网站头条,让人瞠目结舌的同时,到底有多少是鸡肋? 层出不穷!支付场景炸裂 如果说支付宝和微信支付在红包上的对决是针尖对麦芒,那么在支付场景的拓展上就是各出奇招,总是想搞个

工资是用来支付给责任的,责任越大,工资越高。 涨工资,是因为承担了更大的责任。

听说一段时间不加薪,人就会开始思考起和工资有关的问题.消费水平又提升了,能力也进步了,经验也更多了,怎么还没涨工资呢? 近两年,有了点余钱就开始考虑起投资来,比如:投资股票首先需要判断的就是关于公司价值和价格的关系.回到个人身上,似乎工资也就是个人价值在市场上的一个价格.那我们的工资是如何被定义或确定的? 因为我的程序员职业背景,下面就以这个职业为例来分析下这个问题. 表象与实质 工资的高低给我们的感觉似乎和你的技能.经验呈一个正比关系.毕竟每次找工作面试的时候,考察的都是候选人的技能.经验相关

什么是聚合支付,聚合支付有什么优势

什么是聚合支付,聚合支付有什么优势 聚合支付:也称"融合支付", 聚合支付简单理解就是通过技术服务聚合了各种第三方支付+线下收单等能力的支付方式,目的在于简化商家的接入和统一对账的问题,外加后续的增值服务.极大方便了客户和商户的使用. 聚合支付诞生背景 截至2016年6月,我国使用网上支付的用户规模达到4.55亿,较2015年底增加3857万人,增长率为9.3%,我国网民使用网上支付的比例从60.5%提升至64.1%.手机支付用户规模增长迅速,达到4.24亿,半年增长率为18.7%,网

网上盗刷事件频发 风险肇始于“快捷支付”?

网上盗刷事件频发 风险肇始于“快捷支付”? http://www.paycircle.cn/news/201604/28/10163.html [PayCircle支付圈核心提示]2016年4月,<非银行支付机构分类评级管理办法>正式出台.结合前面提到的<非银行支付机构网络支付业务管理办法>来看,一些技术能力不足,业务水平有限,风控能力较差的中小型第三方支付公司将逐渐弱化,直至退出舞台:而技术能力较强.业务水平较高.风控能力较强的大型第三方公司将获得优待. 刚过去的一段时间里,银行

央行发文深入推进农村支付服务环境建设并答记者问

昨日,央行发布<全面推进深化农村支付服务环境建设的指导意见>,主要从深化助农取款服务,优化农民工银行卡特色服务,推广非现金支付等方面,对下一步深化农村支付环境建设工作提出要求. 一是将深化助农取款服务作为核心内容.允许在银行卡助农取款服务点新增开办现金汇款.转账汇款.代理缴费三种业务,丰富服务功能. 二是明确服务点业务收费要兼顾可持续发展和适度优惠农民的指导原则.特别是对于农村老人在服务点支取养老金等政府涉农补贴资金,要求每卡每月首笔取款业务免费. 三是鼓励支持农村支付服务主体多元化发展,推动

微信支付商户系统架构背后的故事

版权声明:本文由李跃森原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/142 来源:腾云阁 https://www.qcloud.com/community 李跃森,腾讯云PostgreSQL首席架构师,腾讯数据库团队架构师,负责微信支付商户系统核心数据库的架构设计和研发,PostgreSQL-x2社区核心成员,获多项国家发明专利.从事PG内核开发和架构设计超过10年. 2015年之前,微信支付业务快速发展,需要一款数据

移动支付的国内外发展情况

1.移动支付在国外发展情况 1.1移动支付在美国 美国三大移动通信运营商AT&T.T-mobile 和Verizon 无线于2010 年11 月合资成立了移动支付公司ISIS.该公司计划于2012 年在盐湖城进行试点,利用移动支付功能完成盐湖城零售商的销售结算,并为犹他州交通管理局提供一种移动车票支付方式.公司设想把盐湖城以及其他城市变成消费者无需随身携带钱包,使用手机取代现金和信用卡消费的地方. Aite Group 发布的2010~2013 年美国账单支付渠道和方式的预测数据显示,未来三年,