趙明洋

?

基于安卓系統(tǒng)移動(dòng)支付安全性研究

趙明洋

中國(guó)南方航空河南航空有限公司，河南 鄭州 450048

伴隨著電子技術(shù)的快速發(fā)展，移動(dòng)支付出現(xiàn)在人們的視野中，極大地方便了人們生活的同時(shí)也給人們的資金安全帶來(lái)一定風(fēng)險(xiǎn)。從移動(dòng)支付的安全需求說(shuō)起，結(jié)合安卓系統(tǒng)平臺(tái)，提出了移動(dòng)支付應(yīng)用中存在的主要問(wèn)題，并且提出了幾點(diǎn)安全策略。

移動(dòng)支付；安卓系統(tǒng)；安全性

隨著移動(dòng)設(shè)備的普及，移動(dòng)設(shè)備操作系統(tǒng)的發(fā)展，虛擬貿(mào)易的成熟，移動(dòng)支付開(kāi)始走進(jìn)人們的生活。受經(jīng)濟(jì)利益驅(qū)使，越來(lái)越多的攻擊者將移動(dòng)支付作為主要攻擊目標(biāo)，這也導(dǎo)致了針對(duì)移動(dòng)支付軟件的假冒APP和惡意行為大量滋生，從而對(duì)用戶的財(cái)產(chǎn)造成損失，產(chǎn)生的風(fēng)險(xiǎn)還可能對(duì)其他相關(guān)行業(yè)造成嚴(yán)重危害。因此，必須加強(qiáng)移動(dòng)支付的安全研究[1]。

1 移動(dòng)支付的安全需求

基于安卓系統(tǒng)移動(dòng)支付通過(guò)WAP無(wú)線應(yīng)用協(xié)議技術(shù)接入無(wú)線網(wǎng)絡(luò)，由于其通用的操作平臺(tái)，便捷的交互方式以及快速的使用方法，再配合多樣化的業(yè)務(wù)發(fā)展，用戶群體數(shù)量激增，但由此引發(fā)的安全問(wèn)題也日益凸顯。為了保證移動(dòng)支付系統(tǒng)的安全穩(wěn)定，一般要求達(dá)到以下幾個(gè)安全指標(biāo)：（1）信息的機(jī)密性，無(wú)線網(wǎng)絡(luò)的開(kāi)放性，使通信信息隨時(shí)可能被非法用戶截取，故要求通過(guò)加密方式，保證任何第三方無(wú)法從截取數(shù)據(jù)中獲得有價(jià)值的信息。（2）數(shù)據(jù)的完整性，要求提供一定的方法，檢測(cè)出信息是否遭到非法用戶的篡改或破壞。（3）認(rèn)證性，進(jìn)行交易前，要求交易雙方能相互鑒別身份的有效性和真實(shí)性，同時(shí)，在使用終端進(jìn)行支付時(shí)，終端對(duì)用戶身份合法性的驗(yàn)證也是必不可少的一個(gè)環(huán)節(jié)。（4）不可否認(rèn)性，一般為了防止用戶對(duì)支付信息的抵賴行為，要求實(shí)現(xiàn)不可否認(rèn)性，以證明消費(fèi)者確實(shí)發(fā)送了相關(guān)的數(shù)據(jù)。

2 移動(dòng)支付應(yīng)用安全問(wèn)題

2.1 漏洞威脅

艾瑞調(diào)查顯示，近六成智能手機(jī)用戶表示在使用手機(jī)銀行時(shí)最擔(dān)心手機(jī)安全問(wèn)題，而手機(jī)安全最大的威脅便是手機(jī)安全漏洞。利用智能手機(jī)操作系統(tǒng)自身漏洞，可以在不破壞APP數(shù)字簽名的情況下，實(shí)現(xiàn)偷賬號(hào)、竊隱私、打電話或發(fā)短信等任意行為。如2013年7月，Bluebox公司曝光的安卓系統(tǒng)簽名漏洞，可以讓第三方程序插件通過(guò)Remote Support得到存取權(quán)限，控制設(shè)備的屏幕和使用OEM發(fā)出授權(quán)證書(shū)。2015年8月，安全公司Check Point發(fā)現(xiàn)了安卓系統(tǒng)新漏洞Certifi-gate，手機(jī)一旦被不法分子控制，將面臨手機(jī)支付功能被非法復(fù)制、客戶資金流失的威脅[2]。

2.2 偽基站、釣魚(yú)網(wǎng)站的威脅

不法分子利用與電信運(yùn)營(yíng)商的無(wú)線基站同頻的偽基站，搜索附近的手機(jī)卡信息，然后偽裝成運(yùn)營(yíng)商或冒充95588等銀行號(hào)碼發(fā)送廣告或詐騙短信。誘騙中招者訪問(wèn)虛假網(wǎng)銀，盜刷銀行賬戶資金；或誘導(dǎo)受害者下載手機(jī)木馬，達(dá)到盜刷支付賬戶的目的。偽基站使用的電信運(yùn)營(yíng)商或銀行的官方號(hào)碼，通常被手機(jī)安全軟件列入白名單。號(hào)碼管理軟件不能識(shí)別和攔截其發(fā)送的短信，具有很強(qiáng)的迷惑性。手機(jī)用戶若訪問(wèn)虛假網(wǎng)銀或下載安裝了手機(jī)木馬，其支付賬戶安全將受到威脅。目前，手機(jī)客戶端軟件打開(kāi)的網(wǎng)址還無(wú)法被手機(jī)安全軟件捕獲，二維碼掃描工具也不具備識(shí)別惡意網(wǎng)址的能力。隨著手機(jī)支付的發(fā)展，各大網(wǎng)絡(luò)銀行、淘寶、微信等釣魚(yú)網(wǎng)站在網(wǎng)絡(luò)中肆意傳播，通過(guò)發(fā)送各種商品銷售優(yōu)惠信息、銀行賬號(hào)的電子密碼器等更新信息鏈接到釣魚(yú)網(wǎng)站，對(duì)手機(jī)支付賬戶造成威脅。

2.3 惡意程序的威脅

惡意程序的威脅主要包括病毒和木馬。病毒能未經(jīng)允許私自下載軟件并安裝，竊取銀行賬號(hào)及密碼，盜走資金。如“洛克蠕蟲(chóng)”病毒，木馬程序在手機(jī)后臺(tái)運(yùn)行，監(jiān)視受害者短信，攔截銀行、支付平臺(tái)等發(fā)來(lái)的短信，然后將這些短信聯(lián)網(wǎng)上傳或轉(zhuǎn)發(fā)到黑客手機(jī)中。黑客利用此木馬配合受害者身份信息重置支付賬戶，盜取資金。根據(jù)360安全中心的調(diào)查，安卓的木馬傳播者將病毒直接嵌入水貨新機(jī)系統(tǒng)固件，普通用戶無(wú)法刪除。木馬安裝后，自動(dòng)出現(xiàn)在被嵌手機(jī)中，并在鎖屏或深夜時(shí)發(fā)來(lái)短信定制SP業(yè)務(wù)，消耗用戶費(fèi)用。

2.4 信息泄露

移動(dòng)電話等信息被截獲，容易導(dǎo)致信息泄露，威脅著移動(dòng)支付安全。網(wǎng)上有售賣(mài)竊聽(tīng)裝置的，這種裝置可以在任何地方攔截移動(dòng)電話，能同時(shí)監(jiān)控20個(gè)電話號(hào)碼，并顯示手機(jī)的短信和來(lái)電顯示內(nèi)容。手機(jī)上的所有信息存儲(chǔ)在手機(jī)的內(nèi)存芯片中，人們處置更換下來(lái)的手機(jī)時(shí)，通常選擇賣(mài)給舊貨市場(chǎng)，但往往只是取出SIM卡和存儲(chǔ)卡，不刪除手機(jī)內(nèi)存儲(chǔ)的信息，這就很容易泄露個(gè)人隱私。

3 移動(dòng)支付安全策略

3.1 數(shù)字簽名協(xié)議

數(shù)字簽名技術(shù)是移動(dòng)支付中常應(yīng)用的一項(xiàng)最主要的安全技術(shù)，交易雙方對(duì)自己出示的信息進(jìn)行數(shù)字簽名，實(shí)現(xiàn)信息的可鑒別性和不可抵賴性。使用數(shù)字簽名技術(shù)后，接收者可確認(rèn)其所接收信息的完整性，確定其是否遭受他人惡意破壞。另外，在將來(lái)的糾紛事件中，數(shù)字簽名可作為原始證據(jù)來(lái)使用[3]。

3.2 數(shù)字信封技術(shù)

數(shù)字信封技術(shù)是一種融合對(duì)稱加密和非對(duì)稱加密優(yōu)點(diǎn)的一種安全技術(shù)，它有效解決了密鑰傳送過(guò)程中的安全問(wèn)題。

第一步：隨機(jī)產(chǎn)生對(duì)稱密鑰，發(fā)送方利用該密鑰對(duì)所要發(fā)送的信息加密。

第二步：采用信封封裝的方式對(duì)公鑰加密上述對(duì)稱密鑰。

第三步：將第一步和和第二步的加密信息發(fā)送給接收方。

第四步：接收方收到信息后，用私鑰解密數(shù)字信封，獲得隨機(jī)對(duì)稱密鑰。

第五步：接收方用此對(duì)稱密鑰對(duì)接收到的消息進(jìn)行解密，獲得信息原文。

3.3 完善法律法規(guī)

當(dāng)前，很多國(guó)家的移動(dòng)支付產(chǎn)業(yè)走入成熟期，相關(guān)的法律法規(guī)作為產(chǎn)業(yè)發(fā)展的重要支持，而我國(guó)的移動(dòng)支付產(chǎn)業(yè)仍處于初級(jí)階段，問(wèn)題重重，沒(méi)有相關(guān)的法律法規(guī)保障，該產(chǎn)業(yè)仍處于不冷不熱狀態(tài)。隨著移動(dòng)支付產(chǎn)業(yè)優(yōu)勢(shì)逐漸明顯，運(yùn)營(yíng)商之間的競(jìng)爭(zhēng)逐漸激烈，采用合作方式實(shí)現(xiàn)資源共享、優(yōu)勢(shì)互補(bǔ)是可行的，這個(gè)時(shí)候，電子支付牌照的發(fā)放顯得尤為重要。政府相關(guān)部門(mén)應(yīng)規(guī)范和整頓移動(dòng)支付的市場(chǎng)秩序，形成有利于運(yùn)營(yíng)商、銀行、第三方支付公司合作的商業(yè)模式，在產(chǎn)業(yè)鏈協(xié)調(diào)、信用制度、法律法規(guī)等方面解決問(wèn)題，轉(zhuǎn)變?nèi)藗兊膫鹘y(tǒng)支付觀念，促進(jìn)移動(dòng)支付的可持續(xù)發(fā)展。

3.4 樹(shù)立移動(dòng)支付安全意識(shí)

對(duì)移動(dòng)支付涉及的賬戶信息、電子郵箱、支付密碼、手機(jī)短信、驗(yàn)證碼等信息要妥善保管，提高保密性。對(duì)移動(dòng)支付流程中各個(gè)環(huán)節(jié)所產(chǎn)生的信息要有足夠的警覺(jué)性，確保信息的真實(shí)、完整和不可抵賴等。手機(jī)號(hào)碼變更后，涉及移動(dòng)支付綁定的相關(guān)手機(jī)號(hào)碼要及時(shí)更換。

4 結(jié)論

移動(dòng)支付作為21世紀(jì)的新興支付方式，已在廣大人民群眾中掀起一股熱潮，智能手機(jī)的安全需要聯(lián)合運(yùn)營(yíng)商、設(shè)備提供商、安全軟件提供商和手機(jī)用戶等多層面的力量來(lái)構(gòu)建。我國(guó)要想促進(jìn)社會(huì)經(jīng)濟(jì)發(fā)展，必須推動(dòng)電子商務(wù)發(fā)展，政府積極主動(dòng)地為移動(dòng)支付產(chǎn)業(yè)的發(fā)展清除障礙，為其營(yíng)造健康的發(fā)展環(huán)境。

[1]潘愛(ài)民.基于安卓的移動(dòng)支付系統(tǒng)的設(shè)計(jì)探討[J].通信世界，2015（19）：208.

[2]梁春雷.基于安卓平臺(tái)移動(dòng)支付的應(yīng)用和安全研究[J].電子世界，2014（13）：18.

[3]王長(zhǎng)杰，王衛(wèi)華.移動(dòng)支付交易中存在的安全風(fēng)險(xiǎn)及對(duì)策研究[J].雞西大學(xué)學(xué)報(bào)，2015（10）：52-54.

Based on the Android Mobile Payment Security Research

Zhao Mingyang

China Southern Airlines Henan Airlines Co., Ltd., Henan, Henan Zhengzhou 450048

along with the rapid development of electronic technology, mobile payment appear in people’s horizons, greatly convenient people’s life and also bring some risk people capital is safe.Speak of from the security requirements of mobile payment, this paper combined with the android platform, puts forward the main problems existing in the mobile payment application, and puts forward some security policy.

mobile payment;the android system;security

TP393.08

A

1009-6434（2016）08-0059-02