2013年移動金融安全問題爆發,出現了“洛克蠕蟲”、“銀行悍匪”等高危的移動金融支付類病毒。此類病毒能夠專門針對手機銀行端竊取用戶帳號密碼。同時,為了更好的規範移動金融支付,中國人民銀行、中國銀行業監督管理委員會也制定了一系列的移動金融的安全規範和安全評估要求,強調移動銀行的安全,需要從根本上杜絕安全支付風險,比如鍵盤防止輸入法攻擊、監聽短信,竊取通話記錄,讀取手機中安裝的購物客戶端、銀行客戶端等等。現在我們來看下移動應用保護平臺——愛 加 密提出的一套完整的移動金融支付安全解決方案。
移動金融支付安全解決方案
漏洞分析——移動金融支付安全解決方案
1)數據存儲安全性分析
2)賬號、密碼等敏感數據內存分析
3)證書安全、交易安全性分析
4)界面劫持與截取分析
5)服務器地址被盜取和篡改分析
6)釣魚攻擊、數據包截獲分析
7)網絡監聽、鍵盤輸入監聽分析
8)內存修改、動態注入分析9)手機銀行安全認證體系整體安全檢測分析
應用保護——移動金融支付安全解決方案
1)DEX三重保護
A. Dex加殼保護
B. Dex指令動態加載
C. 源碼混淆保護
2)so文件加密(愛加密獨有so文件加密保護技術)
A. 移動金融支付應用so文件進行優化壓縮
B. 移動金融支付應用so文件源碼進行加密隱藏
C.加密後移動金融支付應用so文件能夠有效的防止IDA等工具逆向分析
定製保護——移動金融支付安全解決方案
1) 防止界面截取、輸入法攻擊引起的隱私信息洩露保護
2) 防止解包、打包、源碼轉譯
3) 源碼優化
4) 本地儲存加密
5) 網絡協議加固
6) 移交安全性及交易安全性保護
7) 證書安全
渠道監測——移動金融支付安全解決方案
1)渠道數據監控
監控國內外600個APP渠道信息,實時監控渠道相關信息
2)精準識別渠道正盜版
提供正版盜版APP信息精準對比,反饋詳細信息到用戶後臺
3)盜版APP詳情分析
分析項目涵蓋所有路徑文件及代碼,清晰查看修改項目或第三方代碼
4)一鍵生成報告
提供一鍵生成報告功能,全面記錄APP盜版分析數據
典型案例
平安天下通
平安天下通是首款領先的金融行業即時通訊應用,具備即時通訊軟件免費通訊、好玩易用等品質,在輕鬆社交的同時更不斷提供各類金融產品/資訊/服務。
使用服務:愛加密DEX三重保護+so文件加密 +渠道監測+本地加密系統服務
保護需求
1) 防止反編譯、防破解
2) 防止二次打包
3) 隱私保護
4) so庫保護
解決方案
1)漏洞分析
a. 反編譯、防破解分析
b. 源碼混淆分析
c. 防二次打包分析
d. 賬號密碼安全分析
2)應用保護
a. DEX保護
b. 防二次打包保護
c. so庫保護
d. 截屏保護
e. 鍵盤監聽保護
3) 渠道監測
a. 每兩天更新渠道監測數據,渠道下載數據監控
b. 渠道版本監控、正版盜版識別
保護效果
有效的減少APP被反編譯、被破解的風險,so庫核心文件得到保護,賬號密碼洩露風險減少