行业现状
证券、保险、基金、第三方支付等移动金融快速发展,面向不同人群提供灵活便捷的移动金融服务。截止2019年第一季度,手机支付用户规模达6亿,线下支付习惯已经形成。但在移动金融快速发展的同时,webview漏洞、弱密码、中间人攻击等涉及移动系统和信息的安全问题也越来越突出,严重威胁着移动金融的发展。
安全风险
敏感信息泄露
黑产人员通过界面劫持、录屏等手段,窃取用户隐私信息进骗和恶意营销。
病毒、木马威胁
通过二次打包、植入病毒、替换应用等手段,控制用户手机转移财产、盗取信息
运行环境复杂
移动类APP在被root的设备上运行或模拟器等环境下运行存在严重安全风险
上线合规受限
开发过程中存在代码漏洞,安全风险等风险因素导致应用无法满足合规上线
解决方案
开发阶段
数据录入安全SDK包
- 防截屏:
关键输入页面不能截屏,保障数据安全不外泄
- 防劫持:
保障关键界面不被劫持攻击,防止数据输入的钓鱼行为
- 安全键盘:
通过随机键盘防止触屏回溯,通过加密键盘防止数据流窃取
发布阶段
安全加固
- 防逆向:
Dex 文件 VMP保护
SO文件加密保护
LLVM源码保护
- 防调试:
防内存截取攻击保护
防内存非法读取/修改
防动态注入攻击保护
防动态调试保护
- 防篡改:
主配文件防篡改保护
资源文件完整性保护
数据文件加密保护
签名校验保护
评估阶段
安全评估
- 应用合规检测
- 应用漏洞检测
- 应用安全性检测
- 业务合规性检测
运行阶段
环境清场SDK
依托360云安全计算中心建立的储存数亿木马病毒样本的黑名单数据库,全面检测木马病毒针对ROOT、Xposed和模拟器环境特征检测对URL内容进行检测。
