10月23日爆出,多名美国银行的客户本周在Twitter上投诉称,在使用苹果的Apple Pay移动支付系统时被重复收款,据美国银行随后的道歉称,这一问题影响了约1000笔交易。
很显然,问题出在美国银行应用软件接口上,这一新闻再次给移动支付安全性敲响了警钟。
根据艾瑞咨询发布的2014Q1中国第三方移动支付市场交易规模统计数据获悉,2014Q1中国第三方移动支付市场交易规模达15328.8亿元,环比增长112.7%。手机银行、支付宝等移动产品为用户提供了既方便又快捷的理财方式,但与传统银行服务模式相比,手机银行用户的信息更易被泄露、被盗取,“电子现金“很容易就变成了”别人的现金“,安全成为了移动支付的最大问题。
全球49%的互联网用户在支付过程中感受到了不安全,62%的用户害怕在互联网上遭遇金融欺诈。不法分子通过异地补办手机卡得到用户与网银账号绑定手机的验证号短信,从而更改密码,但敏感信息泄漏只是手机银行发生风险的开端。盗窃者常常利用黑客技术篡改移动金融支付应用程序,通过截获网络传输数据、散布木马、网络钓鱼、和操作用户所丢手机等几种形式,获取手机短信、账户密码等私密资料,并以转账的方式盗窃客户账号内的存款。
相比iOS系统 ,安卓系统更易受到攻击。据统计,非iOS操作系统的移动设备中,84%的智能手机和74%的平板电脑均使用安卓操作系统。安卓系统拥有大量的用户,也更受网络罪犯的觊觎。
不止用户,各大银行、移动支付产品开发者都需要增强移动软件安全保护的措施,将安全隐患从根本上降低。例如金融类APP产品可以使用类似NAGA PT加固平台,该平台通过对Android APK源码进行整体加固、对 Android APK 资源文件进行加密加固保护、对Android APK 反动态调试加固保护等方法,为移动支付安全提供了可信赖的屏障。当然,技术型保障是一方面,开发者在产品开发时对产品进行安全加固、用户在使用移动支付产品时提高安全警惕,都会大大降低移动支付的风险。
据悉,娜迦信息早在2012年进入移动安全领域,并检测了国内15家大型银行手机银行客户端,总结出防止动态调试与防止静态分析全面防护的思路,为广大开发者提供娜迦移动安全服务平台,专门针对未保护程序运行的不同周期采取不同程度的加固措施。通过对静态文件整体加密、代码抽取、伪加密等技术,从而加大非法分析者在获取程序的静态私密数据的难度;通过对动态的执行过程进行哈希校验、反调试、运行时解密、代码回写等技术,切断通过调试器动态跟踪的过程,有效保护程序的私密逻辑不被泄露,同时也保证其执行逻辑不被恶意篡改。目前,娜迦信息已经和中国建设银行、杭州银行等多家金融机构进行深度合作,保障移动支付安全。
( 责任编辑: 佰佰安全网 )
2160
