移动互联网安全问题和解决方案
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目前一些APP大面积被山寨,存在泄露隐私的风险,同时由于APP山寨版和正版外观相 似,要一眼分辨存在困难。其实,除了一些App被山寨外,还面临着被破解、二次打包 、数据篡改、注入等危机。
www.payegis.com
移动安全:“梆梆”、“爱加密”看起来很美
目前针对Android市场山寨APP众多的情况,应运而生了例如“梆梆加密”、“爱加密 ”等针对Android APP的安全服务商,为独立开发者和厂商提供APP加固方案,加固效 果一度受到业界重视,看起来很美。 但这些安全提供商却有着不能视而不见的弊端:
撞库
账号信息一致
账号系统被 攻陷
背景一:近两年来发生了近2000起拖库事件
背景二:近一半的用户习惯在多个网站之间 使用相同的帐号名和密码
账号盗用
信息转卖
机密泄露
www.payegis.com
账号安全:通付盾设备ID
4
• 通付盾提供消费者帐号的安全保护措施——帐号与关联设备绑定。通付 盾关联设备绑定是传统绑定(如密保绑定、密码保护卡绑定、手机绑定、 电话密保、邮箱绑定、IP地址绑定、身份证绑定、彩信密保、视频绑定 等等)的可靠延伸。通付盾让硬件软件化,为网上银行提供通用U盾和 手机令牌,直接阻止电子支付中的欺诈行为。通付盾为消费者提供自保 护数据加密密钥 API,消费者只有以相同或相关联的设备上网才能用密 钥打开数据包。
9
时空码:动态数字码、条形码、二维码,比传统动态口令更胜一筹
动态数字码
动态条形码
动态二维码
www.payegis.com
交易安全:时空码&通付堡垒
通付堡垒交易风控平台功能包括:风险控制计划,安全规则管理,多维属性信誉管理, 效果分析及试验平台,用户行为建模预测,作弊和黑客监视跟踪预警,智能分析及行动 建议等。该系统鼓励交易,降低欺诈风险,帮助用户实现预定利润比例的目标。通付盾 支付风险API以网络设备指纹数据为切入点,提供更可信的智能动态实时风险管理。拥 有国际领先的核心支付安全专利技术,为您提供安全支付通道,是您身边的安全专家!
5
而按照恶意程序的行为属性统计,恶意扣费类的恶意程序数量仍居第一位,占39.8%, 流氓行为类(占27.7%)、资费消耗类(占11.0%)分列第二、三位。2012年,CNCERT组织 通信行业开展了多次移动互联网恶意程序专项治理行动,所重点打击的远程控制类和信 息窃取类恶意程序所占比例分别较2011年的17.59%和18.88%大幅度下降至8.5%和7.4% 。
(2) 在为企业级用户提供应用加固服务外还提供反向验证方案,确保原应用未 增加后门,无安全隐患。
www.payegis.com
移动安全:移动应用安全 & 移动设备安全
移动设备安全:通付盾安全检测站
切换至PayEgis 安全桌面 提示用户卸载 恶意程序等
8
设备原安全状态
注:图中红圈代 表设备 中的不安全因素
黑客组织
网籍库
黑数据中心 白忙 一场!
撞库
账号信息一致 判断设备匹配 www.payegis.com
账号安全
移动安全:Android平台成病毒温床
据去年的统计结果,仅2012年,CNCERT监测和网络安全企业通报的移动互联网恶意程 序样本有162981个,较2011年增长25倍,其中约有82.5%的样本针对Android平台,已 成为移动平台第一重灾区,这主要是缘于Android平台的用户数量快速增长和Android 平台的开放性。
www.payegis.com
移动安全:移动应用安全 & 移动设备安全
移动应用安全:通付盾安全加固站
混淆、加壳、加密 客户端保护
安全加固站
7
对抗黑客逆向工程 对抗注入、篡改、 重打包
已加固APP
待加固APP
合作厂商
反向验证 方案
优势: (1)面对符合安全标准的企业级用户,提供全面加固方案,不仅对抗逆向工程, 更增加对抗恶意注入和篡改的客户端保护机制。
来自百度文库
安全检测
设备安全状态
设备安全状态
安全检测站
优势: (1)在移动设备上构建一个安全运行环境,让恶意程序无所遁形。
(2)云端检测,移动设备无负载,安全桌面和正常桌面任意切换。
www.payegis.com
交易安全:时空码&通付堡垒
传统的交易安全解决方案中,人们多倾向于加强客户端的可靠性来保障其交易服务系统 安全。事实上,网上黑客作弊者唯利是图,手段翻新,花样百出,客户端安全技术跟不 上作弊手段翻新。同时客户端过多的安全监控会给用户带来极大的不便及不信任,从而 影响诚实客户交易经验,伤害客户转化率。
6
(1)返回给独立开发者和厂商的加固后APP,不提供反向验证手段,独立开发者和厂 商不知道加固后的APP是否内置后门。
(2)由于加固条件未做完备的限制,导致被病毒利用,目前已有多款病毒应用(例如 最新的“支付宝大盗”)利用梆梆加固进行安全加固,躲避杀毒软件的查杀。 (3)单独的APP加固不足以实现真正的移动安全,易被攻破:
移动互联网安全问题和解决方案
www.payegis.com
苏州工业园区星湖街325号创意 产业园1-B501单元 电话:86-512-67903889 邮编:215021
目
录
2
1 2 3
账号安全问题和通付盾解决方案 移动安全问题和通付盾解决方案
交易安全问题和通付盾解决方案
www.payegis.com
10
www.payegis.com
11
www.payegis.com
账号安全:传统 “账号-密码”体系脆弱
3
2011年12月 CSDN拖库事件 2013年10月 ORACLE3800W
目前黑数据市场非常猖獗, 网络上各种“社工库”层 出不穷,用户账户信息泄 露情况非常严重!
2013年11月 某某酒店2000W
2013年12月QQ群关系7000W
黑数据中心
提供真实 用户数据
www.payegis.com
移动安全:“梆梆”、“爱加密”看起来很美
目前针对Android市场山寨APP众多的情况,应运而生了例如“梆梆加密”、“爱加密 ”等针对Android APP的安全服务商,为独立开发者和厂商提供APP加固方案,加固效 果一度受到业界重视,看起来很美。 但这些安全提供商却有着不能视而不见的弊端:
撞库
账号信息一致
账号系统被 攻陷
背景一:近两年来发生了近2000起拖库事件
背景二:近一半的用户习惯在多个网站之间 使用相同的帐号名和密码
账号盗用
信息转卖
机密泄露
www.payegis.com
账号安全:通付盾设备ID
4
• 通付盾提供消费者帐号的安全保护措施——帐号与关联设备绑定。通付 盾关联设备绑定是传统绑定(如密保绑定、密码保护卡绑定、手机绑定、 电话密保、邮箱绑定、IP地址绑定、身份证绑定、彩信密保、视频绑定 等等)的可靠延伸。通付盾让硬件软件化,为网上银行提供通用U盾和 手机令牌,直接阻止电子支付中的欺诈行为。通付盾为消费者提供自保 护数据加密密钥 API,消费者只有以相同或相关联的设备上网才能用密 钥打开数据包。
9
时空码:动态数字码、条形码、二维码,比传统动态口令更胜一筹
动态数字码
动态条形码
动态二维码
www.payegis.com
交易安全:时空码&通付堡垒
通付堡垒交易风控平台功能包括:风险控制计划,安全规则管理,多维属性信誉管理, 效果分析及试验平台,用户行为建模预测,作弊和黑客监视跟踪预警,智能分析及行动 建议等。该系统鼓励交易,降低欺诈风险,帮助用户实现预定利润比例的目标。通付盾 支付风险API以网络设备指纹数据为切入点,提供更可信的智能动态实时风险管理。拥 有国际领先的核心支付安全专利技术,为您提供安全支付通道,是您身边的安全专家!
5
而按照恶意程序的行为属性统计,恶意扣费类的恶意程序数量仍居第一位,占39.8%, 流氓行为类(占27.7%)、资费消耗类(占11.0%)分列第二、三位。2012年,CNCERT组织 通信行业开展了多次移动互联网恶意程序专项治理行动,所重点打击的远程控制类和信 息窃取类恶意程序所占比例分别较2011年的17.59%和18.88%大幅度下降至8.5%和7.4% 。
(2) 在为企业级用户提供应用加固服务外还提供反向验证方案,确保原应用未 增加后门,无安全隐患。
www.payegis.com
移动安全:移动应用安全 & 移动设备安全
移动设备安全:通付盾安全检测站
切换至PayEgis 安全桌面 提示用户卸载 恶意程序等
8
设备原安全状态
注:图中红圈代 表设备 中的不安全因素
黑客组织
网籍库
黑数据中心 白忙 一场!
撞库
账号信息一致 判断设备匹配 www.payegis.com
账号安全
移动安全:Android平台成病毒温床
据去年的统计结果,仅2012年,CNCERT监测和网络安全企业通报的移动互联网恶意程 序样本有162981个,较2011年增长25倍,其中约有82.5%的样本针对Android平台,已 成为移动平台第一重灾区,这主要是缘于Android平台的用户数量快速增长和Android 平台的开放性。
www.payegis.com
移动安全:移动应用安全 & 移动设备安全
移动应用安全:通付盾安全加固站
混淆、加壳、加密 客户端保护
安全加固站
7
对抗黑客逆向工程 对抗注入、篡改、 重打包
已加固APP
待加固APP
合作厂商
反向验证 方案
优势: (1)面对符合安全标准的企业级用户,提供全面加固方案,不仅对抗逆向工程, 更增加对抗恶意注入和篡改的客户端保护机制。
来自百度文库
安全检测
设备安全状态
设备安全状态
安全检测站
优势: (1)在移动设备上构建一个安全运行环境,让恶意程序无所遁形。
(2)云端检测,移动设备无负载,安全桌面和正常桌面任意切换。
www.payegis.com
交易安全:时空码&通付堡垒
传统的交易安全解决方案中,人们多倾向于加强客户端的可靠性来保障其交易服务系统 安全。事实上,网上黑客作弊者唯利是图,手段翻新,花样百出,客户端安全技术跟不 上作弊手段翻新。同时客户端过多的安全监控会给用户带来极大的不便及不信任,从而 影响诚实客户交易经验,伤害客户转化率。
6
(1)返回给独立开发者和厂商的加固后APP,不提供反向验证手段,独立开发者和厂 商不知道加固后的APP是否内置后门。
(2)由于加固条件未做完备的限制,导致被病毒利用,目前已有多款病毒应用(例如 最新的“支付宝大盗”)利用梆梆加固进行安全加固,躲避杀毒软件的查杀。 (3)单独的APP加固不足以实现真正的移动安全,易被攻破:
移动互联网安全问题和解决方案
www.payegis.com
苏州工业园区星湖街325号创意 产业园1-B501单元 电话:86-512-67903889 邮编:215021
目
录
2
1 2 3
账号安全问题和通付盾解决方案 移动安全问题和通付盾解决方案
交易安全问题和通付盾解决方案
www.payegis.com
10
www.payegis.com
11
www.payegis.com
账号安全:传统 “账号-密码”体系脆弱
3
2011年12月 CSDN拖库事件 2013年10月 ORACLE3800W
目前黑数据市场非常猖獗, 网络上各种“社工库”层 出不穷,用户账户信息泄 露情况非常严重!
2013年11月 某某酒店2000W
2013年12月QQ群关系7000W
黑数据中心
提供真实 用户数据