目前�,移動(dòng)金融在整個(gè)金融業(yè)務(wù)系統(tǒng)中的比例越來越高,但移動(dòng)金融中應(yīng)用程序的整體信息安全性并不高����。在銀行、保險(xiǎn)�、證券、基金��、第三方支付等許多金融領(lǐng)域�����,越來越多的移動(dòng)信息安全問題涉及到信息泄露、黑鏈���、電信欺詐��、財(cái)產(chǎn)損失等事件層面�。移動(dòng)安全在業(yè)內(nèi)源源不斷����,亟待改進(jìn)。
金融應(yīng)用面臨的安全風(fēng)險(xiǎn)
目前�����,各金融機(jī)構(gòu)競(jìng)相推出自己的應(yīng)用程序����,其中流行的應(yīng)用程序受到不同程度的入侵攻擊或二次打包的威脅。
金融應(yīng)用面臨的主要安全風(fēng)險(xiǎn)有交易安全風(fēng)險(xiǎn)�、敏感信息泄露風(fēng)險(xiǎn)、聲譽(yù)安全風(fēng)險(xiǎn)和流程安全風(fēng)險(xiǎn)����。
交易安全:黑客通過破解客戶端邏輯、偽造客戶端請(qǐng)求和篡改用戶交易過程來竊取用戶資金�。
敏感信息泄露:用戶隱私信息被反調(diào)試�、注入��、界面劫持��、釣魚木馬等方式竊取����。
信用安全:黑客打包后重新發(fā)布合法的應(yīng)用程序��,插入廣告����、病毒等惡意代碼,竊取用戶數(shù)據(jù)��,威脅賬戶資產(chǎn)等��,不僅影響用戶權(quán)益���,而且造成合法應(yīng)用程序的信譽(yù)損失�。
流程安全:在大多數(shù)情況下����,財(cái)務(wù)應(yīng)用程序是由第三方開發(fā)人員開發(fā)的�����。開發(fā)過程中的安全問題不能得到很好的監(jiān)控����,很容易導(dǎo)致應(yīng)用程序的質(zhì)量問題�。
金融應(yīng)用中安全風(fēng)險(xiǎn)的危害
這些安全風(fēng)險(xiǎn)可能導(dǎo)致金融機(jī)構(gòu)用戶泄露大量敏感信息,甚至造成巨額財(cái)產(chǎn)損失��,導(dǎo)致金融機(jī)構(gòu)信貸危機(jī)���,影響金融機(jī)構(gòu)的長期發(fā)展�。
大通移動(dòng)應(yīng)用檢測(cè)平臺(tái)金融應(yīng)用安全解決方案
針對(duì)金融應(yīng)用的安全風(fēng)險(xiǎn)�����,萬緯通以“靜態(tài)碼檢測(cè)-動(dòng)態(tài)邏輯檢測(cè)-通道監(jiān)控”的模式為金融應(yīng)用提供全方位����、多層次的安全保護(hù)。
靜態(tài)安全檢測(cè):
反編譯的Java文件和XML文件在靜態(tài)模式下被掃描和分析����。通過關(guān)鍵詞搜索等靜態(tài)模式�����,從應(yīng)用發(fā)布����、通信���、運(yùn)行和保護(hù)等方面進(jìn)行了全方位的安全檢測(cè)����。
動(dòng)態(tài)安全檢測(cè):
應(yīng)用安裝在自定義沙盒中運(yùn)行�,進(jìn)行模擬滲透攻擊����,檢查是否得到有效保護(hù),并記錄應(yīng)用操作的行為以及監(jiān)控和服務(wù)器通信的流量���。
通道監(jiān)控:
可以監(jiān)控600多個(gè)主流PC和移動(dòng)渠道����,可以發(fā)送識(shí)別盜版應(yīng)用程序并及時(shí)發(fā)送短信通知用戶。
