谢学兵;周亦敏;张春柳
【摘 要】磁铁块
轻钢结构雨棚Mobile banking clients as a new mobile payment method has been subject to many security issues concern. This paper analyzes the existing mobile banking client security risk, studies commonly used mobile application testing methods, combined with mobile banking clients special security requirements, proposes a test method suitable for the evaluation of mobile banking. In this paper, the test method through targeted testing found security issues of mobile banking clients, thus reducing the risk of suffering from external attack, by an example to demonstrate the effectiveness and feasibility of the test method and introduces the mobile banking clients reinforcement technology to supply inadequate testing methods.%手机银行客户端作为一种新型移动支付方式,它的安全问题一直受到多方面的关注。本文通过分析目前存在的手机银行客户端安全隐患,研究常用的移动应用软件测试方法,结合手机银行客户端的特殊安全要求,提出一种适合手机银行测评的测试方法。本文的测试方法通过对手机银行客户端进行针对性测试,发现手机银行客户端的安 全问题,从而减少遭受外来攻击的风险,并通过实例来证明该测试方法的有效性和可行性,并介绍了手机银行客户端加固方法,来补充测试方法的不足之处。
【期刊名称】《软件产业与工程》
【年(卷),期】2015(000)006
【总页数】6页(P36-41)
【关键词】安全隐患;测评方法;测评实例;加固技术
【作 者】谢学兵;周亦敏;张春柳
【作者单位】上海理工大学光电工程与计算机学院上海 200093;上海理工大学光电工程与计算机学院上海 200093;上海计算机软件评测重点实验室上海 201112
【正文语种】中 文
Email:****************;
周亦敏,副教授,上海理工大学物理实验室主任;
张春柳,工程硕士,项目经理。
Abstract Mobile banking clients as a new mobile payment method has been subject to many security issues concern. This paper analyzes the existing mobile banking client security risk, studies commonly used mobile application testing methods, combined with mobile banking clients special security requirements, proposes a test method suitable for the evaluation of mobile banking. In this paper, the test method through targeted testing found security issues of mobile banking clients, thus reducing the risk of suffering from external attack, by an example to demonstrate the effectiveness and feasibility of the test method and introduces the mobile banking clients reinforcement technology to supply inadequate testing methods.
KeyWords Security Risks, Evaluation Methods, Evaluation Examples, Reinforcement Technology
网上支付规模的飞速增长,淘宝网、京东商城等购物平台的出现,带给了人们不一样的购物选择,随着线上服务的与日俱增,手机支付的快捷和方便,逐渐成为人们消费付款的首选。然而绝大多数的人们对手机的安全没有足够认识,不注重对手机安全的保护。手机支付存在着巨大的利益,逐渐吸引着不法分子的目光,手机越来越容易遭受到外部攻击,其中手机银行作为手机支付中的一个重要组成部分更是如此。
目前对手机银行客户端的测试还没有形成一个比较完整的测试方法,在测试过程中,存在着测试盲点,更容易遭受攻击,本文研究目前普遍存在的手机银行客户端安全隐患,采用常用的应用软件测试方法,结合手机银行客户端一些自身特点,提出一种能够适用于手机银行测评的测试方法。
移动银行(Mobile Banking Service)也可称为手机银行,是利用移动通信网络及终端办理相关银行业务的简称。手机银行是由手机、GSM短信中心和银行系统构成。在手机银行的操作过程中用户通过SIM卡上的菜单对银行发出指令后,SIM卡根据用户指令生成规定格式的短信并加密,然后指示手机向GSM网络发出短信,GSM短信系统收到短信后,按相应的应用或地址传给相应的银行系统,银行对短信进行预处理,再把指令转换成主机系统格式, 银行主机处理用户的请求,并把结果返回给银行接口系统,接口系统将处理的结果转换成短信格式,短信中心将短信发给用户。
本文从不同系统不同版本的手机银行客户端安全威胁[1-3]中归纳出三类具有代表性的安全隐患:
1.1 登录安全淀粉加工
登录,是用户使用手机银行客户端的第一步。在过程中,用户会输入账号、登录密码或身份证信息等重要的隐私信息,之后再交由客户端软件与服务端进行通信。一旦用户的登录过程被攻击者监听或劫持,通信数据被截获或破解,则会导致用户账户信息被盗或银行存款被盗刷。
在登录安全中,主要存在两类安全隐患:一类是加密机制不完整或过于简单,容易遭攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验,从而导致登录过程很容易被“中间人”攻击劫持。
1.1.1 加密机制
手机银行客户端的登录加密机制通常分为两种:一是使用 HTTPS 协议进行加密传输,二是使用 HTTP 方式进行传输,但采用自实现的加密机制来实现数据保护。
1.1.2 服务端证书校验
不论银行客户端使用的是何种登录加密机制,如果客户端在登录过程中不对服务端的身份(证书) 进行校验,就有可能“信任” 伪装身份的“冒牌服务端”,连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。 这种假冒服务端身份的攻击也被称为“中间人攻击”。
1.2 软件安全动态秤
移动端程序在打包发布后,攻击者通过逆向工具将安装文件反编译为工程文件,通过逆向分析可以获取程序开发的所有源代码。在渗透测试过程中由于程序包可以被破解,攻击者可以利用这个问题对移动应用发起白盒测试,提高漏洞探测的速度以及成功率。
对于想利用此问题发动钓鱼攻击的攻击者可以在程序中植入恶意代码,然后将二次打包的程序文件发布到互联网上的APP发布平台,一旦有用户下载并登录自己的在线银行,就会
造成个人银行账号泄露或资金被盗的风险。
1.3 身份认证安全
目前绝大多数的手机银行客户端采用“用户名密码+短信验证码”的认证体系,即伪双因素认证体系,对于采用伪双因素认证方式的客户端来说,保证验证短信的安全性即能否保证验证短信不被劫持、窃听,成为了客户端认证机制安全性的决定因素。然而这种基于“验证码只有手机主本人可见”的条件下才成立的安全机制非常容易被打破,窃听者可以通过短信劫持木马,使本地手机对短信进行拦截而用户本人无从知晓。
移动管式喷砂机手机支付规模的快速增长,越来越多的银行开通了手机银行业务,研发手机银行客户端,在上线前,银行需要对研发的客户端做安全测评。目前常用的移动应用软件检测技术主要有四类:静置检测技术、特征码扫描技术、二进制代码逆向分析技术、动态行为检测技术[4-7],基于手机银行客户端自身安全的特殊性,测试过程中,结合常规的检测方式,采用渗透技术对手机银行客户端进行安全测试。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议