免费热线

400-050-1788

金融类APP安全防护,做好风险监测是关键

【作者: 竹玉柱】【发布时间: 2021-08-26 14:59:31】

  近几年来,随着移动支付的快速发展,许多金融机构也纷纷涉足,跟随互联网发展的潮流,各自推出了各自的金融客户端应用程序,即移动金融APP。因此,借助于移动互联技术的便利,资金转帐、炒股、基金买卖、跨国支付等一整套的金融操作都可以在手机上快速实现。

金融APP开发

  根据银行金融机构和第三方支付机构的交易量来看,移动支付在2016年再次创下新高,银行业金融机构移动支付总交易额达到157.5万亿,反映出移动支付等移动金融体系在用户市场的普及程度呈高速增长趋势。

  但是,随着金融服务的便利化,移动金融支付的安全问题也开始不断出现:欺诈欺诈、信息泄露、资金盗取等问题屡见不鲜。

  大多数手机银行APP由于自身的局限性,存在着一系列高低不一的风险漏洞,海云安移动安全专家认为,这些漏洞常常引发病毒木马程序注入、重要页面劫持、非法权限控制等风险行为,使用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致盗取用户个人敏感信息的出售,从而引发后续一系列电信诈骗事件。各种风险事件的案例,都说明了手机金融APP自身防御手段薄弱、易被破解、安全性低等问题。

  部分的APP客户端可能在手机银行中存在以下问题:

  1、交易数据可能被篡改:手机银行APP运行过程中,用户在转账、汇款等交易时使用的账号、开户行等敏感数据信息在写入移动终端内存时,可被黑客利用技术手段进行篡改,使原本要转给亲友或企业的资金被转入黑客指定的账户。

  2、关键Activity组件极易被劫持:手机银行的APP关键组件不具有阻止用户进入后台或提示等相关功能,黑客可以在支付界面进行劫持,用户的敏感数据有被窃取的风险。当用户登陆或输入交易密码时,黑客可以在本地监听用户的状态,弹出假界面,诱骗用户输入正确的帐号密码,从而窃取用户信息。

  3、抗逆向分析能力不足:通过利用反编译工具、反汇编软件对手机银行APP进行反编译,发现手机银行APP可以被反编译,并泄漏出大量的有效代码。通过反编译,黑客可以向客户端程序植入木马、恶意代码和广告等。在没有自检机制的情况下,客户程序可通过篡改客户端程序窃取手机用户的隐私信息。

  4、能够再编译二次封装:手机银行APP的反编译,通过修改代码、XML、资源文件,再进行二次封装编译。他们通过在手机银行的APP程序中植入恶意代码、广告等,窃取手机用户的资金或隐私信息。可以进行动态调试.

  5、手机银行APP可以通过GDB、IDA等工具动态调试,黑客可以使用GDB或IDA等调试器来跟踪运行程序,并执行一些行为,比如查看、修改内存中的代码和数据,从而获得用户的敏感信息。

  6、支持密码任意备份:手机银行APP代码允许任意备份,黑客可以通过备份应用程序获取用户敏感信息。

  7、在发布版本中保留用于测试的组件或账户信息:一些移动银行APP在发布版本中保留了用于测试的组件或账户信息,直接暴露服务器接口的调用参数。

  综观以上各类风险问题,越来越突出了在金融APP开发过程中,开展全面深入的安全测试评估工作的重要性!拥有国内第一套手机应用安全风险评估系统(MARS),能全面发现APP安全漏洞,快速应对潜在的风险。第一是检测平台的综合性,海云安MARS系统,可以针对Android、IOS、微信、H5等多个平台开展,为移动金融业务在各渠道平台的运营提供全覆盖的安全检测。

  然后在检测方向上,MARS系统对客户端、通信链路和服务器端等移动金融业务的重要环节进行全面深度的风险检测,快速输出全方位管理/技术双报告。与MARS系统标准相比,海云安MARS产品具有较强的对标能力,符合《金融服务移动应用信息安全指南》等移动应用安全标准,全面覆盖了常规基准、行业标准和监管要求等。


本文链接:http://www.51mzsoft.com/newsdetail/974.html

版权声明:本站资源来源于网络,(图片文章版权归原作者所有),如有侵犯您的版权,请联系我们,本站会及时下架删除处理