手機(jī)支付的安全威脅分析

手機(jī)支付的安全威脅分析

0手機(jī)支付面臨的終端安全威脅近年來(lái)，智能手機(jī)的發(fā)展非常迅速：手機(jī)硬件性能迅速提高，以ios和android為代表的移動(dòng)電話操作系統(tǒng)越來(lái)越強(qiáng)大。手機(jī)應(yīng)用的類(lèi)型和數(shù)量正在迅速增長(zhǎng)。移動(dòng)互聯(lián)網(wǎng)。這些發(fā)展給手機(jī)用戶帶來(lái)了更大便利,手機(jī)支付功能就是其中之一。但是,以病毒和木馬為代表的各種安全威脅與日俱增,既威脅著通訊錄、短信等傳統(tǒng)私密信息,也對(duì)以手機(jī)支付為代表的個(gè)人隱私行為構(gòu)成嚴(yán)重威脅。手機(jī)支付面臨的終端安全威脅,既有手機(jī)上一般性的安全威脅,也有針對(duì)支付應(yīng)用特定的安全威脅。為有效應(yīng)對(duì)這些安全威脅,需要在手機(jī)支付相關(guān)各環(huán)節(jié),采取相應(yīng)的安全措施。1手機(jī)支付設(shè)備的安全威脅1.1一般安全威脅手機(jī)支付在終端面臨的一般性安全威脅大致包括六個(gè)方面:1.1.1短信和gps定位安全威脅手機(jī)支持的空中接口包括通話、短信、彩信、GPS等。當(dāng)數(shù)據(jù)經(jīng)由通話、短信、彩信等方式傳輸時(shí),用戶私密信息面臨被截獲和竊取的風(fēng)險(xiǎn)。雖然目前只有專業(yè)的設(shè)備能夠截獲,成本較高,但隨著科技不斷發(fā)展,這類(lèi)風(fēng)險(xiǎn)還是存在的。詐騙電話和詐騙短信是當(dāng)前最重要的安全威脅之一,彩信則是手機(jī)病毒傳播的重要途徑之一。GPS定位功能可能被不法分子利用,對(duì)手機(jī)持有人進(jìn)行跟蹤定位。據(jù)外媒報(bào)道,手機(jī)定位服務(wù)被關(guān)閉的情況下,仍會(huì)收集并存儲(chǔ)用戶的位置信息。而類(lèi)似“查找我的iPhone”的應(yīng)用程序已經(jīng)很好地利用了GPS定位功能,且精度越來(lái)越高。1.1.2外圍接口的隱私手機(jī)支持的外圍接口包括藍(lán)牙、紅外、USB、NFC等。這些外圍接口給用戶帶來(lái)便利的同時(shí),也為非法的數(shù)據(jù)訪問(wèn)和數(shù)據(jù)傳輸提供了渠道,可能造成私密信息泄露。外圍接口還可能導(dǎo)致手機(jī)病毒的傳播,直接威脅手機(jī)上的數(shù)據(jù)和應(yīng)用的安全。1.1.3信息的暴露和處置安全手機(jī)及其附屬的存儲(chǔ)卡上存儲(chǔ)著通訊錄、短消息、日程安排、支付卡號(hào)等各種私密信息。當(dāng)用戶將手機(jī)放置在某些公共場(chǎng)所時(shí),存儲(chǔ)信息就有被暴露的風(fēng)險(xiǎn)。當(dāng)手機(jī)或存儲(chǔ)卡發(fā)生借用、維修、更換等情況時(shí),存儲(chǔ)信息的安全性就會(huì)受到威脅。即便可以刪除信息,但刪除可能不夠徹底,當(dāng)手機(jī)流落到別處時(shí),存在被攻擊者通過(guò)各種技術(shù)手段進(jìn)行惡意恢復(fù)的風(fēng)險(xiǎn)。如今,類(lèi)似iCloud的“云存儲(chǔ)”方式為用戶提供便利的同時(shí),也增加了手機(jī)上的私密信息通過(guò)網(wǎng)絡(luò)或其他設(shè)備(PC、平板電腦等)泄露的風(fēng)險(xiǎn)。1.1.4手機(jī)丟失和被盜的安全威脅很明顯,當(dāng)手機(jī)丟失、被盜時(shí),極易導(dǎo)致個(gè)人私密信息的泄露。而且,手機(jī)上安裝的各類(lèi)應(yīng)用程序還可能被惡意使用,造成各種損失。1.1.5手機(jī)原生操作系統(tǒng)被修改,容易使手機(jī)應(yīng)用更加安全和PC類(lèi)似,手機(jī)的操作系統(tǒng)也存在各種各樣的潛在漏洞,可能涉及硬件、軟件、協(xié)議等方面。在漏洞被發(fā)現(xiàn)后、被修復(fù)前,存在著被攻擊者惡意利用的可能,導(dǎo)致私密信息被竊取、手機(jī)應(yīng)用被惡意利用。近年來(lái),通過(guò)“越獄”、獲取Root權(quán)限、刷ROM等方式對(duì)手機(jī)原生操作系統(tǒng)進(jìn)行修改的技術(shù)手段越來(lái)越多,在手機(jī)持有者中的應(yīng)用范圍也在不斷擴(kuò)大。這些修改在很大程度上破壞了手機(jī)操作系統(tǒng)本來(lái)就不是十分可靠的安全體系,使得病毒程序和惡意代碼有了可乘之機(jī)。事實(shí)上,隨著智能手機(jī)開(kāi)放型操作系統(tǒng)的不斷發(fā)展,攻擊者利用操作系統(tǒng)漏洞、通過(guò)獲取Root權(quán)限開(kāi)發(fā)的惡意程序越來(lái)越多,危害也越來(lái)越大。1.1.6智能手機(jī)安全、應(yīng)用程序安全威脅日益增多近年來(lái),通過(guò)WiFi、GPRS等方式接入無(wú)線互聯(lián)網(wǎng)的手機(jī)用戶數(shù)量迅速增長(zhǎng)。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的《第30次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》,截止2012年6月底,中國(guó)手機(jī)網(wǎng)民數(shù)量已經(jīng)達(dá)到3.88億當(dāng)手機(jī)接入無(wú)線互聯(lián)網(wǎng)后,就面臨著傳統(tǒng)PC類(lèi)似的安全威脅,用戶在進(jìn)行瀏覽網(wǎng)頁(yè)、下載應(yīng)用、網(wǎng)絡(luò)游戲、網(wǎng)上聊天、網(wǎng)絡(luò)購(gòu)物等行為時(shí),都有可能被病毒、木馬程序、流氓軟件感染,造成私密信息被竊取、手機(jī)被遠(yuǎn)程控制等后果。根據(jù)360安全中心發(fā)布的《2011年中國(guó)手機(jī)安全狀況報(bào)告》,中國(guó)手機(jī)安全領(lǐng)域在2011年真正進(jìn)入“危險(xiǎn)”局面,無(wú)論從手機(jī)木馬的種類(lèi)、數(shù)量,還是感染平臺(tái)、手段的多樣性與感染用戶數(shù)上,都發(fā)生了從數(shù)量到質(zhì)量上的大躍進(jìn)式的質(zhì)變,2011年全年累計(jì)截獲的手機(jī)病毒個(gè)數(shù)和惡意軟件款數(shù)均超過(guò)去6年總和與此同時(shí),基于無(wú)線互聯(lián)網(wǎng)的應(yīng)用程序日漸豐富,各種手機(jī)應(yīng)用論壇和應(yīng)用商店也日益增多,帶來(lái)兩方面問(wèn)題:一是很多應(yīng)用程序需要用戶輸入一些敏感信息,帶來(lái)泄露風(fēng)險(xiǎn);二是各類(lèi)應(yīng)用商店、論壇、網(wǎng)站對(duì)上架的應(yīng)用程序的安全性檢測(cè)參差不齊,可能造成被植入病毒或木馬的應(yīng)用程序泛濫。此外,智能手機(jī)的無(wú)線熱點(diǎn)功能使得手機(jī)具備無(wú)線路由器功能,其他設(shè)備可通過(guò)WiFi、藍(lán)牙、USB等方式借機(jī)上網(wǎng)(俗稱“蹭網(wǎng)”)?？傊?當(dāng)手機(jī)接入無(wú)線互聯(lián)網(wǎng)之后,手機(jī)所面臨的安全威脅大大增加。1.2支付應(yīng)用程序所產(chǎn)生的特定安全威脅1.2.1采用程序修改來(lái)生成惡意代碼和進(jìn)行新應(yīng)用隨著反編譯技術(shù)的發(fā)展,攻擊者在獲取原版支付應(yīng)用的可執(zhí)行程序后,通過(guò)反編譯、分析二進(jìn)制代碼等技術(shù)手段對(duì)支付應(yīng)用進(jìn)行解析,然后對(duì)某些內(nèi)容進(jìn)行修改,加入竊取私密信息的惡意代碼,重新生成一個(gè)可執(zhí)行程序,在用戶看起來(lái)沒(méi)有什么差異。比如,Android平臺(tái)上的應(yīng)用開(kāi)發(fā)主要使用Java語(yǔ)言,Java語(yǔ)言本身反編譯相對(duì)容易,惡意程序開(kāi)發(fā)者可以反編譯獲取應(yīng)用源碼,繼而修改原代碼并植入惡意插件程序代碼,最后再重新編譯生成新應(yīng)用程序包,并誘使用戶下載安裝。采用該方式生成的新應(yīng)用仍然保留了原應(yīng)用的正常功能,從而具有較高的欺騙性。當(dāng)用戶從非官方渠道(某些論壇、應(yīng)用商店等)獲取被修改的支付應(yīng)用時(shí),可能發(fā)生這種情況。1.2.2攻擊的安全威脅數(shù)據(jù)的生成惡意程序被植入手機(jī)后,往往在后臺(tái)運(yùn)行,用戶不會(huì)有感覺(jué)。惡意程序通過(guò)讀取支付應(yīng)用的相關(guān)數(shù)據(jù)、捕捉輸入鍵盤(pán)的輸入內(nèi)容等手段,竊取用戶輸入的敏感數(shù)據(jù),如銀行卡號(hào)、PIN碼等。攻擊者的惡意程序還有可能截獲或篡改客戶端所發(fā)送和接收的數(shù)據(jù)包,比如嗅探用戶的敏感信息,或者修改轉(zhuǎn)賬交易的轉(zhuǎn)賬金額或轉(zhuǎn)入賬戶字段等。這些惡意軟件還有可能利用手機(jī)操作系統(tǒng)的漏洞,使得在手機(jī)支付客戶端運(yùn)行之前,先運(yùn)行惡意軟件偽造的客戶端,并將用戶提交的身份認(rèn)證信息發(fā)送到攻擊者的計(jì)算機(jī)。惡意程序可以多種方式被植入手機(jī),比如:隨著ROM更新帶入、包裝成或潛伏于用戶感興趣的軟件誘使用戶下載安裝等。1.3隱私信息被盜竊總結(jié)起來(lái),手機(jī)端的支付應(yīng)用面臨的安全威脅可能來(lái)自使用、存儲(chǔ)、升級(jí)、上網(wǎng)等各環(huán)節(jié),可能導(dǎo)致的后果可以歸結(jié)為兩大類(lèi):[R1].私密信息被竊取。這可能會(huì)發(fā)生在空中接口、外圍接口、手機(jī)更換或丟失、無(wú)線互聯(lián)網(wǎng)等各種渠道下,會(huì)發(fā)生在信息輸入、存儲(chǔ)、傳輸、處理等階段中。當(dāng)私密信息被竊取之后,不法分子就可以通過(guò)各種途徑來(lái)獲利。[R2].支付過(guò)程和支付應(yīng)用被破壞或利用。手機(jī)被他人獲取、支付應(yīng)用被修改或植入病毒之后,支付應(yīng)用正常的支付過(guò)程可能被他人利用或被破壞,支付信息可能被篡改,不法分子從中獲利。2相關(guān)安全標(biāo)準(zhǔn)為應(yīng)對(duì)前述及其他在手機(jī)端的安全威脅,需在手機(jī)端的支付應(yīng)用相關(guān)的交易、存儲(chǔ)、研發(fā)、使用等各環(huán)節(jié)采取相應(yīng)安全措施。中國(guó)銀聯(lián)作為國(guó)內(nèi)支付行業(yè)的領(lǐng)軍企業(yè),在移動(dòng)支付方面做了大量工作,包括形成了一系列的安全標(biāo)準(zhǔn)文檔。對(duì)于手機(jī)端的支付應(yīng)用軟件,安全標(biāo)準(zhǔn)文檔提出了全面的安全準(zhǔn)則,重點(diǎn)內(nèi)容參見(jiàn)表1。下面就一些重要的安全措施進(jìn)行描述:2.1點(diǎn)對(duì)點(diǎn)加密方法手機(jī)支付的重要特點(diǎn)是有許多的信息傳輸發(fā)生在公網(wǎng)上,而且信息傳輸鏈條較長(zhǎng)。因此,需要根據(jù)各環(huán)節(jié)的特點(diǎn),采取點(diǎn)對(duì)點(diǎn)的加密方法,參見(jiàn)圖2。這種點(diǎn)對(duì)點(diǎn)通信的安全加密的方式是有效應(yīng)對(duì)兩大類(lèi)安全威脅[R1]和[R2]的最基本措施。2.2身份合法性認(rèn)證移動(dòng)終端的便攜性導(dǎo)致其很容易被丟失,同時(shí)也是被盜的主要對(duì)象。為了防止這種情況發(fā)生而導(dǎo)致第三者登錄支付客戶端軟件進(jìn)行惡意支付,需要定義一套完善的用戶身份合法性認(rèn)證機(jī)制:如果是借記卡,驗(yàn)證要素可以是客戶端登錄賬戶(唯一ID)、支付密碼和短信驗(yàn)證碼;如果是貸記卡,則驗(yàn)證要素可以為客戶端登錄賬戶(唯一ID)、卡片有效期、CVN和短信驗(yàn)證碼。這種方法能幫助應(yīng)對(duì)安全威脅[R2]。2.3確保自控盤(pán)信息成為安全創(chuàng)建體系的設(shè)計(jì)依據(jù)在支付過(guò)程中,用戶常常需要輸入登錄賬戶、支付密碼、智能卡PIN和CVN等敏感信息。為了保證這些信息在輸入過(guò)程中不會(huì)被非法竊取,要求輸入鍵盤(pán)為自定義軟鍵盤(pán)。該鍵盤(pán)必須具有過(guò)濾功能,即根據(jù)功能不同只顯示所需的字符信息,且顯示為亂序;同時(shí)要求輸入密碼等敏感信息時(shí),輸入框應(yīng)顯示為字符“*”。這種方法能幫助應(yīng)對(duì)安全威脅[R1]。2.4運(yùn)行時(shí)動(dòng)態(tài)清除高效技術(shù)支付客戶端運(yùn)行過(guò)程中不可避免的會(huì)在手機(jī)終端內(nèi)存中出現(xiàn)、殘留支付敏感信息,如會(huì)話密鑰、支付密碼等。為此手機(jī)支付客戶端需要具有適時(shí)清除內(nèi)存中殘留敏感數(shù)據(jù)的功能,同時(shí)要求相關(guān)檢測(cè)單位在做客戶端測(cè)評(píng)和認(rèn)證時(shí),應(yīng)該采用內(nèi)存掃描工具對(duì)運(yùn)行時(shí)狀態(tài)進(jìn)行掃描檢測(cè),從而有效防范惡意代碼通過(guò)掃描內(nèi)存數(shù)據(jù)獲取支付敏感信息。這種方法能幫助應(yīng)對(duì)安全威脅[R1]。2.5代碼完整性驗(yàn)證機(jī)制如果代碼完整性無(wú)法保證,雖然不會(huì)直接泄露敏感信息,但可能會(huì)導(dǎo)致客戶端被植入惡意軟件,帶來(lái)間接風(fēng)險(xiǎn)。為了防范惡意病毒對(duì)客戶端代碼的修改和破壞,需要在客戶端中加入代碼完整性驗(yàn)證機(jī)制。在客戶端代碼發(fā)布前用特定的密鑰對(duì)其進(jìn)行簽名,同時(shí)在客戶端的啟動(dòng)代碼段中增加驗(yàn)證簽名的邏輯代碼。這樣,客戶端每次啟動(dòng)時(shí),都會(huì)執(zhí)行客戶端代碼的完整性驗(yàn)證,如果驗(yàn)證失敗,則會(huì)提醒用戶重新下載或者更新支付客戶端。同時(shí),完整性驗(yàn)證相關(guān)的公鑰等敏感數(shù)據(jù)可以在編譯過(guò)程中利用混淆機(jī)制進(jìn)行妥善保護(hù)。這種方法能幫助應(yīng)對(duì)安全威脅[R2]。2.6端軟件版本管理一方面,要保證支付客戶端的研發(fā)質(zhì)量;另一方面,要加大支付客戶端軟件版本管理力度,嚴(yán)格控制支付客戶端軟件版本的發(fā)布渠道,并進(jìn)行配合宣傳,引導(dǎo)用戶從權(quán)威、安全的站點(diǎn)獲取支付客戶端軟件,從源頭上保證支付客戶