近一年来,移动支付的安全问题牵动着大众的心。近日,由360安全应急响应中心(360SRC)主办的移动支付安全沙龙在京举行,邀请到国内多位知名安全专家围绕“移动支付安全”进行了干货分享。360手机安全专家高祎玮做了主题为“360对移动支付安全的研究与实践”的演讲,此外还有多名业内专家及360资深安全专家就“安卓软件安全审计及漏洞修复”、“移动金融应用的安全风险分析”和“iOS安全检测分析及实践分享”等议题展开了分享及热烈讨论。
从底层入手 专家深究iOS安全研究与安卓漏洞经验
此前有报告指出,安卓系统漏洞能影响到超过99%的手机,而同为手机操作系统,iOS却很少被系统漏洞影响。360资深安全专家高雪峰对此进行了详尽的讲解。他认为,iOS不支持java和Flash,这虽然会使使用受到一定局限,但大大减少了受攻击的“面积”。精简代码、权限分离等举措也是为安全性服务;而代码签名、随机化的二进制文件、库文件等设置,也让黑客的攻击举步维艰。
图1:360资深安全专家高雪峰——iOS安全检测分析及实践分享
反观安卓系统,由于系统的开放性,系统级别的漏洞在近两年层出不穷。轰动一时的Master Key漏洞更是能让黑客直接获得root权限,从而获得手机的全部控制权。360资深安全专家宋申雷(茄子)分享360在安卓漏洞修复方面的经验时表示,360对安卓APP的审核非常严格,会通过基本、自动化等方法保证APP的安全性。
图2:360资深安全专家宋申雷——Android软件安全审计及漏洞修复经验谈
宋申雷着重介绍了安卓APP安全审计中的高级方法,主要通过HOOK——钩子,对要审计的函数进行HOOK,改变程序的流程;DEBUG——调试,定位安全漏洞产生的原因;Reverse——逆向,在没有源代码的情况下,了解程序的流程。而在漏洞修复经验方面,他认为由于安卓的碎片化较为严重,为了兼容build api level太低,只能通过反射调用某些函数修复漏洞。
支付安全问题亟待解决 360推出全套解决方案
360移动安全专家高祎玮在演讲时透露,2013年手机支付的用户数量和使用率较2012年有了明显的提升,用户量从5531万攀升至1.25亿;使用率也从13.2%提高到25.1%。同时,第三方支付公司和银行也在推出种种举措鼓励用户使用手机支付平台,预计未来几年手机支付的用户量还将持续攀升。
图3:360移动安全专家高祎玮介绍360支付安全解决方案
高祎玮认为,移动支付的安全问题集中体现在系统漏洞、恶意软件、恶意二维码、欺诈短信、网络劫持五个方面。虽然黑客的手段多种多样,但归根结底是通过这些手段套取受害者的支付账号密码及验证短信。针对不法分子的最终目的,360方面给出了针对性极强的应对方案。
高祎玮表示,360全球首创移动设备人工智能杀毒引擎QVMⅢ,采用人工智能算法,具备“自学习、自进化”能力,可充分应对针对移动安全的恶意软件;此外360推出业内首家支付软件整版验证系统。该系统能够在极短的时间内识别手机内安装的支付软件是否为正版,或是二次打包、假冒支付软件。从而防止二次打包或假冒支付软件窃取用户的支付账户信息,避免用户的财产损失。
此外,来自梆梆安全的陈彪从几个安全测试用例看移动金融应用的安全现状,说明大多移动金融应用的客户端在技术层面存在能被攻击的漏洞和安全缺失,而这些将导致严重业务风险。同时对分析业务安全的的主要风险进行了分析,并给出了相应的应急解决方案。
|