金融行业移动风险危在旦夕?

标签:安全移动应用

访客:46821  发表于:2014-10-15 16:43:41

  相信每个人在自己的移动设备上安装应用时都会有同样的疑问:为什么这些应用都要读取我的通讯录、获取我的定位信息、读取我的短信、控制我的照相机……天啊,针对手机应用的各种疑惑都快可以写十万个为什么了。这里问一句,如果不读取这些信息移动应用就无法正常运行么?实际上在这一切动作背后所隐藏的恰恰是移动应用所正在面临的安全危机——移动恶意威胁。

  据统计,截止2014年6月中国网民规模已达6.32亿,而手机网民的规模更是达到了5.27亿,网民使用手机上网的比例首次超过使用电脑上网的比例。而与此同时,恶意移动APP数量也正在暴增,2014年第一季度移动恶意APP的数量已经超过200万,预计年底将突破300万,与2012年35万的恶意APP数量相比增长超过了8倍。

  手机网民可观的数量规模促使了移动应用的繁荣,丰富多彩的移动应用已经使得手机网民有了一种“乱花渐欲迷人眼”的感觉,可就当网民们正在享受移动应用所带来的便捷与欢乐时,恶意攻击者也从中发现了一些东西,比如网民手机里的话费,比如与手机关联的网上银行,比如可以通过手机毫不设防的访问企业内部网络……

  2014年5月,移动应用安全服务提供商梆梆安全,参考人民银行在2013年发布的《中国金融移动支付-客户端技术规范》,对国内24家金融机构进行的Android手机安全评估调研分析中发现,绝大多数金融机构都存在严重移动安全风险,比较集中和突出的移动安全风险包括动态调试、代码注入、反编译、篡改、界面劫持等。

  在Gartner的《2014年信息安全趋势与总结》里显示,移动恶意代码主要表现为特洛伊短信,其次是后门程序。另外,所有移动设备恶意代码攻击都需要用户的交互。也就是说,恶意移动应用要想作恶,首先还是需要得到用户的“同意”。所以这些恶意移动应用一般会伪装成各类短信诱骗人们上当,就比如前一阵“非常成功”的“XX神器”。另外,许多很火的移动应用也被恶意攻击者所钟意,恶意攻击者或者会在这些移动应用里偷偷加载恶意代码暗度陈仓,或者会直接伪装成这些应用诱骗用户上当。

  目前移动应用主要面临10安全大风险:

  1. 二次打包和反编译

  2. 不安全的数据存储

  3. 传输层保护不足

  4. 意外的数据泄露

  5. 授权认证较弱

  6. 破解密码算法

  7. 客户端注入

  8. 通过不可信输入的安全决策

  9. Session会话处理不当

  10. 缺乏二进制文件保护

  面对应用安全问题,已经有Web应用防火墙、NGFW等新型安全产品帮助用户建立起了坚固的安全防线。但移动终端由于缺乏有效的安全防护产品,安全防护体系十分脆弱。这就等于在应用系统上开了一个易碎的玻璃窗户入口,让恶意攻击者可以在任何时间、任何地点破窗而入,轻松进入应用系统内部,比如进入网银系统偷走用户的金钱,进入企业业务系统窃取机密数据。
  小编有话说,这些都仅仅是移动应用背后安全危机的冰山一角。现在移动应用无论从产品上还是意识上都在面临安全的空窗期,恶意攻击者必将充分利用这一时期发起更多攻击。此时我们需要考虑的是如何才能建立一个牢固的移动安全保护体系,移动应用安全已经时不我待。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");