移动金融安全解决方案

2013年移动金融安全问题爆发，出现了“洛克蠕虫”、“银行悍匪”等高危的移动金融支付类病毒。此类病毒能够专门针对手机银行端窃取用户帐号密码。同时，为了更好的规范移动金融支付，中国人民银行、中国银行业监督管理委员会也制定了一系列的移动金融的安全规范和安全评估要求，强调移动银行的安全，需要从根本上杜绝安全支付风险，比如键盘防止输入法攻击、监听短信，窃取通话记录，读取手机中安装的购物客户端、银行客户端等等。现在我们来看下移动应用保护平台——爱加密提出的一套完整的移动金融支付安全解决方案。

移动金融支付安全解决方案

一、漏洞分析——移动金融支付安全解决方案

1）数据存储安全性分析

2）账号、密码等敏感数据内存分析

3）证书安全、交易安全性分析

4）界面劫持与截取分析

5）服务器地址被盗取和篡改分析

6）钓鱼攻击、数据包截获分析

7）网络监听、键盘输入监听分析

8）内存修改、动态注入分析

9）手机银行安全认证体系整体安全检测分析

二、应用保护——移动金融支付安全解决方案

1）DEX 三重保护

A. Dex加壳保护

B. Dex指令动态加载

C. 源码混淆保护

2）so 文件加密（爱加密独有so 文件加密保护技术）

A. 移动金融支付应用so 文件进行优化压缩

B. 移动金融支付应用so 文件源码进行加密隐藏

C ．加密后移动金融支付应用so 文件能够有效的防止IDA 等工具逆向分析

三、定制保护——移动金融支付安全解决方案

1）防止界面截取、输入法攻击引起的隐私信息泄露保护

2) 防止解包、打包、源码转译

3) 源码优化

4) 本地储存加密

5) 网络协议加固

6) 移交安全性及交易安全性保护

7) 证书安全

四、渠道监测——移动金融支付安全解决方案

1）渠道数据监控

监控国内外600个APP 渠道信息，实时监控渠道相关信息

2）精准识别渠道正盗版

提供正版盗版APP 信息精准对比，反馈详细信息到用户后台

3）盗版APP 详情分析

分析项目涵盖所有路径文件及代码，清晰查看修改项目或第三方代码

4）一键生成报告

提供一键生成报告功能，全面记录APP 盗版分析数据

典型案例：平安天下通

平安天下通是首款领先的金融行业即时通讯应用，具备即时通讯软件免费通讯、好玩易用等品质，在轻松社交的同时更不断提供各类金融产品/资讯/服务。

使用服务：爱加密DEX 三重保护+so文件加密 +渠道监测+本地加密系统服务

保护需求

1）防止反编译、防破解

2）防止二次打包

3）隐私保护

4） so 库保护

解决方案

1）漏洞分析

a. 反编译、防破解分析

b. 源码混淆分析

c. 防二次打包分析

d. 账号密码安全分析

2）应用保护

a. DEX保护

b. 防二次打包保护

c. so库保护

d. 截屏保护

e. 键盘监听保护

3）渠道监测

a. 每两天更新渠道监测数据，渠道下载数据监控

b. 渠道版本监控、正版盗版识别

保护效果

有效的减少APP 被反编译、被破解的风险，so 库核心文件得到保护，账号密码泄露风险减少