金融类APP安全防护,做好风险检测是关键
[size=large]近年来,伴随移动支付的迅猛发展,诸多金融机构也纷纷涉水,跟随着互联网发展的大潮纷纷推出了各自的金融客户端应用程序,即移动金融APP。随后借助移动互联技术的便利性,资金转账、炒股、基金买卖、跨国支付等金融操作统统在手机上就可快速实现。
从银行业金融机构及第三方支付机构的交易规模来看,2016年移动金融支付的规模再创新高,银行业金融机构移动支付全面交易金额达到了157.5万亿,反映了移动支付等移动金融体系在用户市场中的普及呈现出了高速增长的趋势。
然而伴随着金融生活的便捷性,移动金融支付的安全问题也开始不断爆发:钓鱼扎骗、信息泄露、资金盗取等问题屡见报端。
由于系统平台自身的局限性,大部分手机银行APP均存在着一系列高低不等的风险漏洞,海云安移动安全专家认为,这些漏洞常常引发病毒木马程序注入、重要页面劫持、非法权限控制等风险行为,使得用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取,或将窃取来的用户个人敏感信息进行出售,进而引发后续的一系列电信扎骗问题。种种风险事件案例,均体现出了移动金融类APP自身防御手段较弱,易被破解,安全性较低的现状。
以手机银行为例,部分APP客户端可能存在以下问题:
1、交易数据可被篡改:手机银行APP在运行过程中,用户进行转账、汇款等交易时的账号,开户行等敏感数据信息在写入移动终端内存时,可被黑客利用技术手段进行篡改,使得原本要转给亲友或企业的资金被转入黑客指定的账户。
2、关键Activity组件容易被劫持:手机银行APP关键组件不具备防止进入后台或提示用户等相关功能,黑客可以支付界面进行劫持替换,用户的敏感数据存在被窃取的风险。黑客可以在本地监听用户的状态,当用户登陆或者输入交易密码时,弹出伪造的界面诱骗用户输入正确的账号口令,从而窃取用户信息。
3、抗逆向分析能力不足:通过使用反编译工具、反汇编软件对手机银行APP进行反编译,发现手机银行APP可被反编译并且泄露出大量有效代码。黑客能够通过反编译,在客户端程序中植入木马、恶意代码以及广告等。客户端程序如果没有自校验机制的话,黑客可以通过篡改客户端程序窃取手机用户的隐私信息。
4、能够被重新编译二次打包:对手机银行APP进行反编译,通过修改代码、XML、资源文件并对其重编译二次打包。黑客通过在手机银行APP程序中植入恶意代码或广告等, 窃取手机用户的资金或隐私信息。
5、可以进行动态调试:手机银行APP可以通过GDB、IDA等调试器进行动态调试,黑客可利用GDB或IDA等调试器跟踪运行程序,并且执行查看、修改内存中的代码和数据等行为,从而获取用户的敏感信息。
6、代码允许任意备份:手机银行APP代码允许任意备份,黑客通过备份应用程序获得用户的敏感信息。
7、在发布版本中留存测试用的组件或账号信息:一些手机银行APP在发布版中留存了测试用的组件或账号信息,直接暴露服务器接口的调用参数。
纵观上述的各类风险问题,越发凸显出在APP开发过程中,开展全面、深度安全测试评估工作的重要性!海云安拥有国内首套移动应用安全风险评估系统(MARS),能够全面检测APP安全漏洞,快速应对潜在风险。首先是检测平台的全面性,海云安MARS系统,可以针对安卓、IOS、微信、H5等多个平台开展,为移动金融业务在各渠道平台上的运营提供全覆盖式的安全检测。
其次在检测方向上,MARS系统针对移动金融业务的客户端、通信链路及服务器端等重要组成部分开展全面深度风险检测,快速输出全方位管理/技术双报告。而在系统的标准性方面,海云安MARS产品对标能力强,符合《金融服务移动应用信息安全指南》等移动应用安全标准,全面覆盖常规基准、行业标准及监管要求等。
[/size]
金融类APP安全防护,做好风险检测是关键相关推荐
- 金融类App上架iOS的经验分享
大约是一周前的一个夜晚,我在跟我一位搞金融类app的开发者吃着烧烤,喝着小酒,聊着关于苹果审核遇到的问题,我就分享分享平时遇到苹果审核一般是怎么处理,app推广怎么推广这一块.很幸运,他给我分享了一些 ...
- 苹果市场金融类app上架ios1.2 ,5.2.1或3.21被拒原因解析
当你阅读过大量Apple官方发来的邮件或是说明文档.说明网页时,你会由衷地感觉通篇所说的基本都是些完全正确但又毫无意义的东西,根据业内一位资深朋友所述,一切Apple官方文档和邮件的开头内容你都可以理 ...
- 金融类APP应该怎么做?券商APP该何去何从?
当下金融类APP,尤其以手机证券APP为首,发展至今,存在一些普遍性问题: 1.从用户角度:产品同质化高,体验较差: 2.从技术角度:投产比较低,知识欠缺不垂直,产品迭代困难: 3.从业务运营角度:抓 ...
- 中国移动互联网趋势报告:教育、金融类App留存率更高
中国移动互联网趋势报告:教育.金融类App留存率更高 发表于2015-12-16 11:20| 2218次阅读| 来源CSDN| 2 条评论| 作者唐小引 移动互联网友盟数据移动应用趋势iOSAndr ...
- 金融类APP上架经验分享
金融类APP(现金贷.贷超),目前由于政府或企业资质问题,不容易上架. 结合本人上架过往经历,现推荐方法如下: 如果企业是科技类型的公司,可将APP开发成商城类型 ,或者功能型APP.通过包装上架. ...
- 关于金融类APP测试的策略分析
要了解金融类APP测试的要点,首先就要了解它们的特性,金融类产品从业务性.功能性和稳定性.合规性.易用性.安全性几个方面. 一个产品对于用户而言,最大的价值就是业务.业务即是产品的灵魂,金融类产品更是 ...
- 金融类APP常见被拒绝原因分析及解决
对于监管敏感的行业和应用,苹果应用商店的审核更为苛刻,接下来深圳APP开发公司[红鸟网络]分析了金融类APP被AppStore审核拒绝的常见愿意以及解决方法. 我们首先要知道,苹果审核团队(App S ...
- iOS金融类APP常见被拒绝原因分析及解决
对于监管敏感的行业和应用,苹果应用商店的审核更为苛刻,接下来深圳APP开发公司[红鸟网络]分析了金融类APP被AppStore审核拒绝的常见愿意以及解决方法. 我们首先要知道,苹果审核团队(App S ...
- 十七款金融类APP完整源码推荐
image.png 现如今大众需求从实体专为线上,金融类企业转型刻不容缓,因而开发金融APP软件的市场需求巨大.如果大家致力于从事金融类APP开发工作,可以学习相关的优秀开源项目. 本文分享十七款源码 ...
最新文章
- 几经沉浮,人工智能前路何方?
- mqtt服务器性能H3,运用 MQTT-JMeter 插件测试 MQTT 服务器性能
- 微软推出 VS Code 新特性,为 TypeScript 和 JavaScript 用户提供 AI 辅助开发功能
- 【LeetCode-面试算法经典-Java实现】【002-Add Two Numbers (单链表表示的两个数相加)】...
- C语言——二维数组转置
- android capitalize,How to capitalize every letter in an Android EditText?
- 博客网最终能否破茧成蝶?
- 在centos上运行neural_artistic_style 风格转换
- 数据库sql语句练习题
- Vrep/CoppeliaSim:基础操作(1)
- 笔记本电脑显示dns服务器出错,电脑出现dns错误无法上网的解决方法详解
- 网易微专业——Java Web开发工程师学习笔记(1):HTTP
- E11000 duplicate key error collection
- SSL证书会不会过期?域名SSL证书过期了怎么办?
- 华为鸿蒙与小米新系统,华为鸿蒙系统硬刚谷歌!小米也发布新系统:却选择和谷歌系统互补...
- 操作系统Topic推荐-AMiner
- openpnp - Smoothieware project build
- MAC设置L2TP连接公司内部网络
- Java--JAVA_HOME环境变量的配置
- 修复 重装 远程桌面工具(mstsc.exe)完美解决方案
热门文章
- 74LS161(两个)驱动数码管显示两位十六进制数
- PMP含金量怎么样?PMP有用吗?
- web安全攻防渗透测试笔记 (信安一班 李静)
- 深度学习笔记016:BatchNorm批量归一化+nn.LayerNorm暂记
- 世界名画暗藏玄机?AI可发现梵高画作中的隐藏作品
- 计算机专业英语词汇合成词,【英语分类词汇大全】英语分类词汇常见合成词
- 计算机基础课目录,计算机基础课程Word目录自动生成机制
- 【办公类-16-06】“校历(月日版)”(python 排班表系列)
- Android平台上实现银行卡识别(通过阿里云Api-印刷文字识别_银行卡识别)
- 查看文件(或文件夹)被哪个进程使用【文件已在另一程序中打开】