首页 >> >> 信息发布 >> 正文
360移动支付安全沙龙:从系统漏洞到支付安全
通信世界网 http://www.cww.net.cn 2014年7月1日 15:37
标签:360移动支付安全沙龙:从系统漏洞到支付安全
 

近一年来,移动支付的安全问题牵动着大众的心。近日,由360安全应急响应中心(360SRC)主办的移动支付安全沙龙在京举行,邀请到国内多位知名安全专家围绕“移动支付安全”进行了干货分享。360手机安全专家高祎玮做了主题为“360对移动支付安全的研究与实践”的演讲,此外还有多名业内专家及360资深安全专家就“安卓软件安全审计及漏洞修复”、“移动金融应用的安全风险分析”和“iOS安全检测分析及实践分享”等议题展开了分享及热烈讨论。

从底层入手 专家深究iOS安全研究与安卓漏洞经验

此前有报告指出,安卓系统漏洞能影响到超过99%的手机,而同为手机操作系统,iOS却很少被系统漏洞影响。360资深安全专家高雪峰对此进行了详尽的讲解。他认为,iOS不支持javaFlash,这虽然会使使用受到一定局限,但大大减少了受攻击的“面积”。精简代码、权限分离等举措也是为安全性服务;而代码签名、随机化的二进制文件、库文件等设置,也让黑客的攻击举步维艰。

1:360资深安全专家高雪峰——iOS安全检测分析及实践分享

反观安卓系统,由于系统的开放性,系统级别的漏洞在近两年层出不穷。轰动一时的Master Key漏洞更是能让黑客直接获得root权限,从而获得手机的全部控制权。360资深安全专家宋申雷(茄子)分享360在安卓漏洞修复方面的经验时表示,360对安卓APP的审核非常严格,会通过基本、自动化等方法保证APP的安全性。

2:360资深安全专家宋申雷——Android软件安全审计及漏洞修复经验谈

宋申雷着重介绍了安卓APP安全审计中的高级方法,主要通过HOOK——钩子,对要审计的函数进行HOOK,改变程序的流程;DEBUG——调试,定位安全漏洞产生的原因;Reverse——逆向,在没有源代码的情况下,了解程序的流程。而在漏洞修复经验方面,他认为由于安卓的碎片化较为严重,为了兼容build api level太低,只能通过反射调用某些函数修复漏洞。

支付安全问题亟待解决 360推出全套解决方案

360移动安全专家高祎玮在演讲时透露,2013年手机支付的用户数量和使用率较2012年有了明显的提升,用户量从5531万攀升至1.25亿;使用率也从13.2%提高到25.1%。同时,第三方支付公司和银行也在推出种种举措鼓励用户使用手机支付平台,预计未来几年手机支付的用户量还将持续攀升。

3360移动安全专家高祎玮介绍360支付安全解决方案

高祎玮认为,移动支付的安全问题集中体现在系统漏洞、恶意软件、恶意二维码、欺诈短信、网络劫持五个方面。虽然黑客的手段多种多样,但归根结底是通过这些手段套取受害者的支付账号密码及验证短信。针对不法分子的最终目的,360方面给出了针对性极强的应对方案。

高祎玮表示,360全球首创移动设备人工智能杀毒引擎QVMⅢ,采用人工智能算法,具备“自学习、自进化”能力,可充分应对针对移动安全的恶意软件;此外360推出业内首家支付软件整版验证系统。该系统能够在极短的时间内识别手机内安装的支付软件是否为正版,或是二次打包、假冒支付软件。从而防止二次打包或假冒支付软件窃取用户的支付账户信息,避免用户的财产损失。

此外,来自梆梆安全的陈彪从几个安全测试用例看移动金融应用的安全现状,说明大多移动金融应用的客户端在技术层面存在能被攻击的漏洞和安全缺失,而这些将导致严重业务风险。同时对分析业务安全的的主要风险进行了分析,并给出了相应的应急解决方案。通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:
 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网