墨贝科技发布《2015年银行移动应用安全性调查报告》

1. 前言

继银行卡支付,网上支付(PC 端)之后,中国消费者已快速进入了移动支付时 代。据 CNNIC 发布的《第 33 次中国互联网络发展状况统计报告》数据显示:截至 2013 年 12 月,我国手机网民规模达 5 亿,较 2012 年底增加 8009 万人;手机支付用户规模达到 1.25 亿,同比增长了 126.9%,占手机网民总量的 25.1%。可见,手机支付用户的增长速度 远远高于手机网民规模的增长速度。移动支付的时代已经到来,与此同时,移动安全上的 隐患和威胁也被放大。

对银行业来说,为强化移动银行的安全环境,可以通过开展多样化的安全检测来实 现风险防控,保障客户利益。例如,可以对移动银行应用进行安全评估,发现其安全隐 患,通过升级来弥补漏洞;对移动银行应用进行安全加固,防止二次打包、在应用中植入 恶意代码等恶意行为;开展对移动银行应用的 24 小时监控,一旦发现漏洞攻击或二次打 包等情况,及时进行上报;建设风控体系,及时发现异常支付,并采取应对策略等。通过 如上形式,给消费者提供真实可靠的支付渠道,保障移动银行业务安全。

目前,对移动银行应用进行安全混淆、对渠道进行监控、建设风控体系等,已有成 熟的产品、服务和解决方案,但这些手段对发现黑客攻击具有一定的滞后性。提前发现、 修复移动应用漏洞,对缓解针对移动应用的攻击有很大的帮助,是保证移动银行安全的一 个重要先决条件。

攻击方针对移动应用的攻击主要是基于移动应用的漏洞来进行。实际操作发现,事后对移动应用漏洞进行修复需要付出巨大的代价,包括对渠道包的更新、版本兼容性的考虑等,都必须付出巨大的人力、物力、财力,移动应用提供方常常会陷入漏洞无法修复的尴尬境地。因此,为缓解移动应用漏洞的产生,必须在开发流程中、开发结束后,对移动应用的安全进行及时、整体的评估,减少移动应用可能暴露的攻击面。

在本报告发布之前,已经有部分机构对银行类移动应用进行过安全评估[1],而我 们将采用更严苛的评估方法,配合具体案例,来说明移动应用安全的严峻性。

完整版报告见:mobile_bank_app_security_survey