披荆斩棘中前行的移动金融安全

本篇文章3358字，读完约8分钟

在安全性和用户体验之间找到平衡点，并进行适度的移动安全性

当金融从个人电脑转向移动设备时，我们需要考虑更多的安全问题。

移动性给人们的工作和生活带来了许多便利，包括恶意攻击者。由于移动性，黑客的攻击更方便，也更难检测。

还记得猖獗的手机银行病毒银行对抗吗？据统计，当时被感染的人数超过50万，被招募的银行不计其数。这种病毒将自己重新包装成众所周知的应用程序和游戏，并防止用户通过正式渠道通过技术手段将其卸载。此外，它还操纵用户的手机信息、短信等。在秘密的背景下，导致黑客很容易窃取用户银行账户中的资金。

今天，随着移动金融的快速发展，安全问题正成为其前进道路上的一个路障！

金融行业的用户对个人电脑时代的安全问题有很好的了解，并建立了成熟的安全体系。但现在在这个移动金融时代，一切似乎都不同于过去。

繁荣的移动时代阴影下的安全危机

移动时代是非常美好的，你可以很容易地处理各种需要电脑边走边完成的操作:边走边工作，边走边玩，边走边网上购物。

移动时代也很糟糕，针对移动终端的恶意威胁正在威胁。

2014年，新增手机病毒1003300种，其中53.9%为资费消耗型病毒，16.5%为隐私窃取型病毒。超过70%的病毒下载来自不同的手机市场。此外，应该注意的是，对移动金融有直接影响的移动支付病毒主要通过电子市场、手机论坛、软件包、内置rom、QR码、手机资源站和网络磁盘传播。

这里还有一些有趣的数据。在移动地下黑色产业链的受害者中，75.1%的手机病毒受害者是男性，15-24岁人群占总感染率的34.2%。手机中毒最多的城市是北京，单身人士和情绪外向者的病毒感染率最高。北京15-24岁的单身外向男生显然是移动金融的参与者之一。

安卓平台的普及性、开放性和市场混乱性使其成为恶意攻击者的首选。支付病毒仍然是安卓系统的主要病毒类型，而短信劫持病毒仅占2%，感染了近26%的用户。如今，许多网上支付交易都需要通过短信进行二次认证，而短信劫持引发的病毒式感染严重延缓了移动金融在安全性方面的发展。

不要认为苹果的ios操作系统是安全的。安卓系统漏洞的增长率在2013-2014年间徘徊在11%和13%之间，而ios系统漏洞的增长率实际上达到了惊人的82%-84%。从2012年到2014年，分别发现了112个、90个和109个ios系统漏洞，而在2011年之前只发现了106个ios系统漏洞。据统计，ios系统已知的漏洞主要有信息泄露、机制旁路、代码执行、拒绝服务、溢出、内存损坏等。

看，移动世界真的很不安全。

移动金融安全海边耀眼的沙堡

随着移动浪潮的到来，金融行业的用户也纷纷推出自己的移动金融业务产品。例如移动在线支付服务、移动银行应用等。然而，这种生意大部分是在别人家里发现的，我们已经开始先谈论它。因此，大多数业务系统和应用程序的安全性都没有被考虑在内。

邦邦安全对国内100家金融机构的移动应用安全性进行了统计，发现近三分之一的移动金融应用存在9个以上的安全漏洞。在国内一家大型应用开发商开发的手机银行中，已发现400多个安全漏洞，其中137个是高风险漏洞。未经授权的访问、泄露客户端敏感信息、未经授权的数据修改、应用功能设计缺陷、中间人攻击缺陷、登录设计缺陷以及服务器端的不安全配置是金融移动应用的主要安全问题，其中一半以上是高风险漏洞。

金融业中的大多数移动服务和应用程序都有华丽的界面和方便的使用。然而，由于缺乏安全链接，移动金融就像一座被大海筑起的耀眼的沙堡，当一个大浪来临时就会土崩瓦解。为什么最关注安全问题的金融业会犯如此明显的错误？事实上，并不是他们不想让他们的移动商务产品更安全，而是因为金融机构不了解移动安全，他们不知道如何构建有效的移动金融安全架构。金融机构在pc安全和企业网络安全方面已经有了成熟的安全系统，但在移动安全方面，他们几乎是空·怀特。

揭开移动恶意攻击路线图之谜

事实上，黑客发起攻击的过程基本上是选择目标、发现弱点和实施攻击的例行程序。然而，在移动环境中，尤其是金融移动应用，攻击过程如下:首先选择安全防御较弱的目标，然后进行反编译和逆向工程分析，确定攻击点，发现应用漏洞，确定攻击方法，然后开发相关的攻击程序或钓鱼程序，然后实施攻击。

一旦黑客攻击成功，修改移动金融应用和插入广告就是最轻微的恶意行为。事实上，黑客在截获移动金融应用后，可以截获用户的银行账号、密码、短信验证码等信息，并利用这些信息冒充用户身份，大摇大摆地窃取用户账户中的资金。此外，通过遍历账户信息，黑客还可以获得服务器中的所有账户信息，从而实现对服务器的库拖攻击。

根据安全专家的研究，国内手机银行中的webview sdk xss跨栈漏洞会导致手机被远程控制进行通话、发送短信和打开摄像头。

银行与手机病毒的对抗是通过假装是流行的手机游戏来诱使用户安装和启动恶意的子包。然后它将被伪装成一个系统程序，以防止它被卸载。站稳脚跟后，将卸载各种移动安全软件，劫持包含账号、财付通、验证码等关键字的短信，发布高仿真钓鱼手机银行应用，对所有知名银行发起攻击，最终转移目标账户资金，清除客户短信，消除入侵痕迹。

移动金融的安全之路

鲁迅曾经说过:世界上没有路。如果有很多人在走路，它就会变成一条路。由于移动性的特殊性，移动安全也需要摸着石头过河。如果你说了一些粗鲁的话，并且绊倒了，如果你失去了更多的食物，你会知道如何保护自己。金融企业和安全供应商都在积极寻找移动恶意攻击的解决方案。

在互联网时代，最有效的金融安全方式是使用外部令牌，但这种方式显然不适合移动设备。然而，基于sim卡、sd卡和nfc的认证会使移动金融业务流程复杂化，并大大降低用户体验。目前，基于生物特征识别的方法在技术和经验上也有局限性，监管要求和用户需求之间的矛盾令人头痛。与此同时，我们应该注意到，短信，作为一个双因素检查，将继续使用很长一段时间在未来。

小型便携式移动设备的it资源和能源有限，这就要求运行在其上的各种业务系统和移动应用更加注重用户体验。此外，移动互联网强调非接触式服务和快速迭代，这与传统金融业的高安全性很难匹配。因此，当金融机构推出移动应用时，最重要的是要解决好安全性和用户体验之间的平衡，即实现适度的安全性。一方面，用户在使用移动金融应用时应该没有不服从的感觉，另一方面，他们应该能够及时响应零日攻击和apt攻击。

专注于移动安全研究多年的“安全专家”给出了很好的建议。要做好移动金融安全，需要遵循人、系统、风险的思路。

在网络安全中，人一直是最难控制的因素，所以如果我们能在移动互联网下提高人的安全性，就能从根本上降低恶意攻击的程度。然后我们可以考虑通过移动应用安全咨询来解决人们的问题，比如为sdlc的整个生命周期(设计、研发、发布、运行和维护)提供安全咨询，对移动应用进行安全渗透测试和安全审计，规范核心安全功能。

为了解决系统本身的安全问题，我们可以选择加强移动应用的安全性，以透明的方式将安全性放在业务的后面，从整体上对sdlc(设计、研发、发布、运营和维护)实施安全控制。

最后，借助移动应用安全风险控制，我们可以应对未来的安全问题。这包括通过大数据实现检测未知威胁的能力，放弃预先定义的好与坏的定义，并使用数据来反向推断安全检测能力。当你不能停止攻击时，当它100%发生时，你必须能够在攻击后及时拦截它。

光大银行移动金融安全实战

实践是检验真理的唯一标准。面对移动互联网的浪潮，光大银行也推出了一系列移动金融服务和产品。为了更好地保护光大银行用户的网上交易安全，响应银监会的相应要求，光大银行对其手机银行、直通车、尧尧支付、光大信用卡等手机应用进行了安全强化，同时借助“安全渠道监控”，防止山寨应用、钓鱼应用、二次打包应用等恶意应用攻击用户。自中国光大银行的移动金融应用推出以来，其业务易用性和易用性没有受到影响，并取得了一定的安全保护效果。

今天的安全确实越来越难做，不仅要及时有效地应对各种已知和未知的恶意攻击，还要不影响用户体验。幸运的是，有像邦邦安全这样的专业移动安全供应商，把专业的东西给专业人士总是最明智的选择。

注:本文中的一些数据来自大数据中心。这篇文章转载于《中国金融计算机》