年末購物狂歡，移動支付安全不容忽視

時間 2019-12-06

原文原文鏈接

對於網購一族而言，年末可真是一個敗家剁手的好季節啊。雙11敗家的錢還沒還上，雙12又來了，雙12剛走了，聖誕促銷、元旦促銷、春節促銷、情人節各類節日促銷又來了，敗家根本停不下來啊。可是在任性敗家的時候，你發現了潛伏在你周圍的危險了嗎？尤爲是對於手機購物一族，敗家前看好手機錢包纔是最重要的。算法

先來看看這篇「金融支付類移動端的安全防範策略分析」報告。（摘自互聯網金融支付安全聯盟第四期期刊，其聯盟會員「愛加密」提供內容）安全

正文：服務器

移動支付是相對於PC端支付的一種新型支付方式，是藉助移動終端（手機居多）爲載體進行的一種支付方式。相對於PC端支付，移動支付具備便捷、快速等特色，這種便捷性使得移動支付成爲一種新的趨勢。2014年第二季度，全國共辦理非現金支付業務150.38億筆，金額456.20萬億元，其中，移動支付業務9.47億筆，金額4.92萬億元，同比分別增加1.55倍和1.37倍，移動支付業務繼續保持高位增加。網絡

移動支付應用大概分四類：工具

手機銀行客戶端。目前大多銀行都有本身的客戶端，根據360互聯網安全中心《中國移動支付安全報告》顯示，市場有170家手機銀行客戶端，下載總量達1.08億，其中下載量前五的分別是建行手機銀行，工行手機銀行，交通銀行，招商銀行，農行掌上銀行。加密

第三方支付應用。這一類應用以支付寶、財付通等具有必定實力和信譽保障的第三方獨立機構爲表明，此類支付應用佔去很大的市場份額。以手機支付寶（即支付寶錢包）爲例，截止2013年11月13日，支付寶手機支付用戶超1億，從2014年3月以來，支付寶天天的移動支付筆數超過2500萬筆。網絡安全

電信運營商。以中國移動爲例，中國移動開通手機支付，方便用戶進行繳納話費、水費、電費、燃氣費及有限電視費等，同時還開通手機錢包，將平常生活中使用的各類卡片應用（如銀行卡、公交卡等）裝在在具備NFC功能的手機中，實現手機變錢包的功能。內存

其餘含支付功能模塊的手機應用，如電商類、團購類、理財類應用。對這些應用來講，支付並非其核心功能，但支付模塊倒是其產品中不可缺乏的功能。支付寶

移動支付應用安全現狀：開發

移動支付快速發展的背後暗藏危機。根據調查， 2014年第一季度支付類應用共364款，共有320款應用被植入惡意病毒代碼。五大購物支付類應用（支付類、電商類、團購類、理財類、銀行類）中，每一類均存在大量被二次打包的現象，很多手機支付購物類APP的非官方版本被植入了病毒代碼。

（數據來源：艾媒諮詢）

常見移動支付應用攻擊方式：

系統使用鍵盤和輸入法攻擊

用戶在使用手機支付的時候都會使用鍵盤和輸入法輸入帳號信息和密碼。黑客就能夠經過對系統輸入法的攻擊，達到對支付應用內部輸入框數據的竊取。

界面截取

用戶在進行支付輸入密碼的時候，密碼輸入框信息爲「*」，但在實際上在觸發鍵盤的瞬間，大概1秒的時間，會顯示輸入的具體數字或者字母，黑客能夠對界面進行實時監控，利用這1秒的時間截取屏幕，獲取密碼。

儲存本地數據竊取、用戶隱私竊取

黑客能夠利用技術手段獲取手機本地的數據，用戶隱私，如通信錄、帳號信息等。

反編譯源碼進行釣魚攻擊

黑客可能會對應用進行反編譯、獲取源碼、修改源碼、嵌入病毒、再進行打包簽名，作一個和原應用同樣的應用，而這個新應用裏包含了如扣費、竊取隱私一類的病毒，而用戶很難發現。

網絡交互協議抓取

就是將網絡傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操做，也用來檢查網絡安全，但每每被別有用心之人用來網絡做弊。

面對如此嚴峻現狀，咱們該如何保障移動支付應用安全？

保障移動支付安全，須要移動支付鏈的各方參與者共同維護，包括開發者、政府、應用渠道、安全服務商和用戶。

開發者：從源頭保護應用

開發者是移動支付的源頭，從源頭上保護應用安全，是每一個開發者的義務，尤爲在研發應用之時，開發者須要從技術角度對應用進行保護，從根本上保護應用安全。

1) 保護源碼，保護Linux動態庫以及存放在assets下的網頁文件的安全。對於移動支付應用最重要的so文件，開發者尤爲須要重視，能夠藉助第三方的安全服務商進行加密保護。

2) 保護數據，包括本地數據存儲安全和帳號密碼等敏感數據內存安全

3) 保證證書安全

4) 防止服務器地址被盜取和篡改

5) 防止釣魚攻擊、網絡監聽

2. 政府：出臺行業標準，規範應用基準

目前，移動支付行業的法律法規不健全；加密標準和加密算法也不夠規範；行業內缺少統一標準；這些都須要相關部門和行業來共同制定實施，保障支付安全。伴隨着移動支付的爆發式增加，監管政策亟待加強。

3. 應用市場：增強審覈

應用市場是用戶進行應用下載的主要渠道，對提交應用市場的應用進行安全審覈能有效的下降惡意應用流向用戶的數量，所以，應用市場增強審覈是保障支付應用安全的重要一環。

4. 安全服務商：提供安全快捷、全方位的安全服務

目前，市場上有多種爲移動應用提供安全服務的廠商，可是可以知足移動金融支付類應用高要求、高防禦、高級別需求的專業移動安全服務廠商並很少，做爲關係着用戶我的財產的重要工具，移動支付類應用必須須要更爲專業、更爲安全的服務，如立體化的加密服務、漏洞檢測、安全評估等，這類型的安全服務商以愛加密爲表明，在整個移動支付鏈上有着重要的做用，能有效保障移動支付的安全。移動支付安全是一個廣而深，且不斷動態提高的技術領域，但願有更多安全服務商參與進來，共同研究與促進移動金融安全的進一步發展。

5. 用戶：正規渠道下載應用，提升安全意識

在渠道的選擇上，儘可能選擇大型可信的市場，選擇安全放心口碑較好的下載平臺，或直接在各大知名的官網進行下載，務必確保網址連接的準確性。

結論：

一直以來，機遇和危險並存。移動支付在帶給咱們便利的同時，一樣也孕育着風險。保障移動支付安全是保障移動金融支付發展的前提，要保障移動支付的安全，必需要移動支付鏈上各方共同維護，增強安全意識，增強風險防範機制，提高移動支付風險管理水平，保障移動支付安全

。