没有合适的资源?快使用搜索试试~ 我知道了~
网银支付App安全报告
需积分: 0 1 下载量 195 浏览量
2015-11-19
15:58:27
上传
评论
收藏 3.46MB PDF 举报
温馨提示
试读
48页
参考。360-网银支付App安全报告360-网银支付App安全报告
资源推荐
资源详情
资源评论
手机银行客户端安全性测评报告
(2014 年第二期中国移动支付安全报告)
2014 年 7 月 16 日
摘 要
为了检验手机银行客户端的安全性,本次报告针对当前世面上最流行的 16 家银行的 16
款手机银行客户端应用进行了一次全面的安全性测评。
测试的主要内容包括:登录机制安全性、键盘输入安全性、Activity 组件安全性、进程
注入防护、反盗版能力和认证因素安全性这 6 个主要方面的 8 项具体测试。
少数手机银行客户端存在加密机制不完整,不校验服务器身份等安全隐患。
虽然多数手机银行客户端使用了自绘键盘,但自绘随机键盘并未被广泛使用。而且还有
2 款客户端使用了系统默认的输入法,这是非常不安全的。
有 1 款客户端存在严重的 Activity 导出风险,2 款客户端存在 Activity 导出错误可至系
统崩溃的问题,其他客户端暂未发现由 Activity 导出错误导致的安全风险。
在防范 Activity 劫持,防止进程注入,反盗版/防二次打包,以及防止验证短信被劫持
等方面,所有 16 款被检测的手机银行客户端的表现均不佳。
受到安卓系统的体系限制,很多支付安全性问题是难以靠手机银行客户端软件单独解决
的。因此,将手机银行客户端与具有支付安全保护能力的手机安全软件结合使用,是保
护移动支付安全必要的,也是最佳的选择。
关键词:手机银行、移动支付、加密、证书校验、输入法、Activity 组件安全、反盗版、短
信劫持
目 录
安全测评综述 .................................................................................................................................... 1
第一章 登录机制安全性测试 ........................................................................................................ 3
加密机制 ........................................................................................................................... 3 一、
服务端证书校验 ................................................................................................................ 5 二、
解决方案 ........................................................................................................................... 8 三、
第二章 键盘输入安全性测试 ...................................................................................................... 11
输入方式 ......................................................................................................................... 11 一、
解决方案 ......................................................................................................................... 13 二、
第三章 ACTIVITY 组件安全性测试 ........................................................................................... 15
ACTIVITY 导出 ..................................................................................................................... 15 一、
ACTIVITY 劫持 ..................................................................................................................... 17 二、
解决方案 ......................................................................................................................... 18 三、
第四章 进程注入防护测试 .......................................................................................................... 19
进程注入 ......................................................................................................................... 19 一、
解决方案 ......................................................................................................................... 21 二、
第五章 反盗版能力测试 .............................................................................................................. 22
逆向分析 ......................................................................................................................... 22 一、
二次打包 ......................................................................................................................... 22 二、
解决方案 ......................................................................................................................... 23 三、
第六章 认证因素安全测试 .......................................................................................................... 25
双因素认证与伪双因素 ................................................................................................... 25 一、
验证短信防护测试 .......................................................................................................... 25 二、
解决方案 ......................................................................................................................... 26 三、
附录 1 网银支付类恶意软件案例 .................................................................................................. 28
一、 仿冒银行升级助手的木马 ............................................................................................... 28
二、 手机钓鱼木马伪装支付宝应用 ....................................................................................... 36
附录 2 360 移动支付解决方案 ........................................................................................................ 40
附录 3 应用加固——“360 加固宝” .............................................................................................. 45
1
安全测评综述
继银行卡支付,网上支付(PC 端)之后,中国消费者已经快速进入了移动支付时代。
据 CNNIC 发布的《第 33 次中国互联网络发展状况统计报告》数据显示:截至 2013 年 12
月,我国手机网民规模达 5 亿,较 2012 年底增加 8009 万人;手机支付用户规模达到 1.25
亿,同比增长了 126.9%,占手机网民总量的 25.1%。可见,手机支付用户的增长速度远远
高于手机网民规模的增长速度。移动支付的时代已经到来,移动支付是互联网竞争的下一个
主战场。
手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基
础。如果手机银行客户端存在安全隐患甚至是安全漏洞,就很有可能被电脑黑客或木马病毒
所利用,造成网民银行账户信息泄漏和直接财产损失。
为了检验手机银行客户端的安全性,本次报告针对当前安卓平台上最流行的 16 家银行
的 16 款银行客户端软件进行了一次全面的安全性测评。测评对象包括:
中国建设银行
版本号:1.08
工行手机银行
版本号:1.0.1.1
农行掌上银行
版本号:2.0.0
招商银行
版本号:2.2.0
交通银行
版本号:2.0.5
中国银行
版本号:1.5.2
邮储银行
版本号:1.5.2
民生银行
版本号:2.4
广发银行
版本号:2.5.31
光大银行手机银行
版本号:1.5.1
平安口袋银行
版本号:2.0.8
浦发手机银行
版本号:4.8
中信银行移动银行
版本号:1.6
北京银行
版本号:2.0.2
兴业银行
版本号:2.1.1
银联手机支付
版本号:2.4.2
表 1 测评手机银行客户端名称及版本号
测评的主要内容包括:登录机制安全性、键盘输入安全性、Activity 组件安全性、进程
注入防护、反盗版能力和认证因素安全性这 6 个主要方面的 8 项具体测试。
2
测评结果的基本信息如下:
手机银行 App 检测项目
检测结果
数量
检测结果
数量
检测结果
数量
登录机
制安全
性
加密机制
HTTPS
9
HTTP
安全加密
5
HTTP
简单加密
2
服务器证书
校验
校验
13
不校验
3
键盘输入安全性
自绘随机
键盘
7
自绘固定
键盘
7
使用系统
输入法
2
Activity
组件
安全性
Activity
导出
存在导出
风险
1
导出至系
统崩溃
2
无导出
风险
13
Activity
劫持
无反劫持
能力
16
有反劫持
能力
0
进程注入防护
无反注入
能力
16
有反注入
能力
0
反盗版/二次打包能力
无反盗版
能力
16
有反盗版
能力
0
认证因素安全性
无防短信
劫持能力
16
有防短信
劫持能力
0
表 2 手机银行客户端安全性测评结果
为避免具体测试方法和银行客户端漏洞被人恶意利用,本次报告暂不公开每个银行客户
端的具体测评结果及敏感的测试细节。详细测评结果及相关漏洞,我们将通过秘密报告的方
式通知各家银行。
剩余47页未读,继续阅读
资源评论
lei800806
- 粉丝: 0
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- Python大作业:音乐播放软件(爬虫+可视化+数据分析+数据库)
- 课程设计-python爬虫-爬取日报,爬取日报文章后存储到本地,附带源代码+课程设计报告
- 软件和信息技术服务行业投资与前景预测.pptx
- 课程设计-基于SpringBoot + Mybatis+python爬虫NBA球员数据爬取可视化+源代码+文档+sql+效果图
- 软件品质管理系列二项目策划规范.doc
- 基于TensorFlow+PyQt+GUI的酒店评论情感分析,支持分析本地数据文件和网络爬取数据分析+源代码+文档说明+安装教程
- 软件定义无线电中的模拟电路测试技术.pptx
- 软件开发协议(作为技术开发合同附件).doc
- 软件开发和咨询行业技术趋势分析.pptx
- 软件测试题详解及答案.doc
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功