NSC2015百度姜向前:移动支付安全
尊敬的各位来宾,各位领导,大家上午好!很高兴和大家一起分享百度移动安全部在移动支付领域所做的一些研究。
首先,看一组数据,截至2012年12月份,中国手机网民已经达到5.52亿,其中使用移动支付的用户达到2.67亿,占总体手机用户接近一半,比2013年1.26亿增加了112%。中国手机银行交易规模32.8万亿,较2013年增长157.1%。第三方移动支付交易规模已经达到近6万亿,比2013年增加了391%。这些数据无论是手机银行还是第三方支付都在快速发展。今天在这里我和大家分享移动安全支付所面临的问题。
在近期百度移动安全团队对四个品类62个应用进行了分析,包含了手机银行、电商、第三方支付以及保险理财四个品类,我们找了62款最热门的应用。在中国尤其Android用户下载应用要通过不同的渠道,不同的市场,包括论坛下载。我们通过不同的下载渠道里累计抽样了5758个样本进行分析,发现形势很严峻,中间超过100个应用下载的样本是非正版的,就是盗版的应用。其中某个电商的盗版应用多达97个,就是它一半左右的下载渠道下载的都是非正版的东西。手机网银也是重灾区。19家银行当中,某一个银行非正版渠道就多达30个。
这些盗版应用一方面来自仿冒的应用,一方面来自篡改的应用,无论是仿冒还是篡改的应用,如果用户下载时都有可能导致他的数据丢失、系统破坏、用户个人信息泄露,甚至导致个人财产的损失。所谓的仿冒应用是黑客或黑色产业链的作者他去完全模仿一个正版的应用,包括应用的名称、应用的ICON,组织页面的布局和颜色,看上去和正版应用类似,但后面的后台和逻辑是自己建立的。篡改应用,黑色产业链开发者去下载一个正版的应用进行解剖,植入自己恶意代码重新打包进行发布,整体盗版应用会给用户带来极大的困扰。
仿冒应用,仿冒某手机客户端手机网银页面,里面有个明显的广告条“新年大抽奖”活动,用户点击广告条之后会诱导到填写个人信息页面,包括用户的帐号、密码、手机号之外,用户填写完成,提交之后让用户会有抽奖的活动,用户很高兴,中了一个20元的话费。之后会有弹窗提示分享到好友,这样用户看到会大规模通过微信、微博、朋友圈、邮箱传播,这样带来病毒爆发式的增长。百度安全捕获到这款应用病毒样本已经监测有几千人下载了这个病毒,如果不用查杀统计去预测,48小时内这样的病毒感染人群会超过100万人次。
篡改类应用,我们捕获到支付宝大盗这样的应用,它通过把恶意代码打包到正版支付宝当中,启动应用之后会自动上传用户手机号码、短信等,远程自动屏蔽来自支付宝、淘宝的短信,并且通过钓鱼页面对虚拟电话,去骗取用户姓名、手机号、身份证号等各种信息,然后又诱骗用户修改用户名、支付密码,进而窃取用户支付宝资金。由于它可以屏蔽来自于官方客户的短信,所以,这一切都在用户不知情的情况下去做的。
正版应用本身会有哪些安全问题。
在今年5月份,百度移动安全专家团队对17款支付类应用,42个在线交易类应用进行安全审计,审计的结果是不容乐观的,所有被检测的样本均不同程度存在这样那样的安全问题,尤其漏洞方面,个别手机网银客户端多达580多的安全漏洞,其中高危漏洞多达43个,某一款理财软件漏洞个数超过1200个,某一款非常知名的电商软件漏洞数量最多能达到79个。
正版应用由于研发过程中,开发人员往往赶工期,开发逻辑在应用实现上,赶快把产品发布到市场上,对安全性没有做更多的考量。由于正版应用研发过程中,代码本身所带来的漏洞,它能给大家带来哪些危害呢?首先是拒绝服务大家非常熟悉;远程威胁,他拿到客户客户端,他通过客户客户端发送远程代码执行达到某些黑客特殊的目的;权限能力的泄露,每一款应用都或多或少构建了特殊的能力,一旦这个能力权限泄露的话,相当于他的业务逻辑向黑客开了一扇门,比如这款应用有读取本地应用数据库的能力等等,这种能力如果得不到很好保护的话,也是非常危险的;信息泄露,大家都很清楚,用户个人帐户和密码有泄露的风险。
中间人的攻击,大会开场之前我看到视频里播放了心脏出血漏洞的危害,移动互联网尤其大量移动应用它的漏洞也有可能导致中间人攻击。手机病毒数据,2014年全国Android平台新增病毒软件数量达到91.7万个,较2013年增长4%。数量不大,但用户感染量增幅是非常大的,2014年的Q3比2013年同期感染了达到了7倍,由此可见它的病毒危害和病毒传统能力比之前有显著的提升。
今年6月份百度安全捕获到最新的,我们内部叫GOST病毒(网银神偷)。某一款手机网银感染了网银神偷病毒之后,用户正常登录网银,如果用户向亲朋好友发起一笔转帐,很正常地按照一步步流程填写帐户以及要转帐的金额,得到的转帐确认页面,比如给张三转帐确认等信息都没有任何问题,把验证码提交之后,看到网银转帐成功的页面,这一切看上去都是非常正常的。但很诡异的现象发生了,张三并收到这1000元,这笔资金莫名其妙转到黑客帐户里,类似这样的病毒未来会越来越地发生。看上去形势是非常严峻的。
分享另一类病毒(微信大盗),这个病毒的原理,通过它的主进程注入到LiveShow(音),它检测用户的聊天记录、好友关系、通讯录等等信息,通过发送广播的形式,主恶意进程把用户的隐私上传到服务器端,通过掌握了用户所有的隐私数据之后再进行顶点一对一的欺诈,这个欺诈成功率是相当高的。不可回避的是欺诈短信,百度数据显示,2014年全国垃圾短信数量为454亿条,换句话说我们每人平均每月要收到9条垃圾短信,其中3%是诈骗短信,诈骗短信当中有超过48%的诈骗短信是和支付类相关的,就是和银行、保险理财相关的。通常一条短信用户收到是“尊敬的某某银行客户您好,您的银行卡在某某ATM机上取款3000元,如果您有疑问请拨打某某电话”,在座安全专家收到这样的短信都知道是诈骗短信。但黑色产业链他们发这样的短信成本非常低,一发就成千上万条,一定会有小白用户收到这样的短信就拨打了这样的电话,继而进入诈骗环节。诈骗环节当中最高的是伪基站的短信伪基站一般是模仿正常的某网站的官方客服电话或某网银的客服电话。这是百度协助公安部破获的伪基站犯罪团伙的作案工具,可以看到作案工具非常精巧,平常在放A4纸的小盒子里,通常这样的作案工具放在拉杆箱或背包里,在人群密集,比如大会周围游荡,或者开着车在繁华的车道上进行游荡,方圆2.5公里的用户就接入到这个伪基站当中。S代的伪基站,可以做到,用户可以做到拨打电话和上网,可见这样的伪基站对用户的安全带来多大的威胁。
这是百度卫士做的伪基站地图,伪基站上线以来近一年时间拦截到了伪基站有超过1亿条,这个网址大家可以到百度网站上访问,这个数据我们也是分享的。
2015年,我们在“3·15”晚会上提到了风险Wi-Fi,通过百度7.4亿用户数据累计,进入到风险Wi-Fi的用户占比超过36%。受伪基站影响的用户超过4%。DNS被劫持的用户占比是2%,DNS被劫持之后,用户访问网页,URL会跳转到黑客构建的欺诈网站当中。
最新研究结果显示,Android自发布以来已经发现27处安全漏洞,其中“假面”本地权限漏洞影响到2.1到4.4的Android系统版本。不仅来自应用本身的安全威胁,安全系统本身的安全漏洞都给我们整体是非常严峻的安全形势。作为从业者和行业,我们如何避免或能做些什么呢?百度的建议是第一,提升安全意识,在企业当中做安全宣讲,安全播报,关注安全热点事,安全有新的漏洞发布在内部及时进行通告,制定安全规范。
提高安全代码等级。我们发现几乎所有的安全应用漏洞都可以在编写代码时进行提前修复,安全团队里我们建议设置安全技术专员,普及基础安全技术知识,及时更新安全漏洞目录,加强代码自查,把安全漏洞扼杀在研发过程当中。
如果我们的产品研发完成,发布之前建议进行安全审计,进行静态防护能力构建和动态防护能力构建,对安全漏洞进行扫描,做到本地数据的存储安全以及数据传输过程中的安全。产品发布之前我们建议使用第三方厂商应用加固技术进行加固,防止黑客二次反编译和二次打包,防篡改和二次注入,比如微信大盗注入类威胁,防止黑客进行调试。同时,这种应用加固技术可以进行内存数据保护和本地术语保护。对不安全系统环境数据和不完全网络环境数据进行及时监控,在模拟设备上进行数据的监控以及模拟数据泛指App运行在不安全网络环境当中,开发者及时监控也可以避免自己的业务逻辑被这些黑客窃取,同时监控盗版篡改的数据,当我们发现某一个下载站或下载论坛游这样的应用可以及时处理这个事情。
针对安全问题和安全威胁,分享一下百度所做的事情。百度移动安全整体解决方案,因为百度有20款应用量获益的产品,包括百度钱包,百度糯米和支付强相关的应用,我们会把百度安全的经验分享给开发者。在产品研发之前就进行安全培训、技术咨询,在开发过程中给予专业的安全开发指导。产品研发完成之后进行安全审计,在产品发布之前进行加固,通过百度移动应用加固技术进行产品加固,达到防注入、防篡改、防盗版、防数据窃取等功能。
安全签名,品质认证,应用发布之后,通过运营数据,持续地监控风险数据,进行动态预警,最后形成安全报告给开发者。
详细来说,移动应用安全审计系统,内部代号狼烟系统,结合三代神经网络对App可以进行深度扫描。在PPT和大家分享的移动安全漏洞都是基于这些平台进行审计的,这些平台也是开放给所有的移动开发者。
更高等级的加固技术可以抵御一切攻击手段,通过百度加固技术可以实现动态加解密,内存保护、防调试、数据加密、防注入、内存保护。
做风险数据的监控,对于大部分开发者来讲是门槛非常高的。百度基于大数据的优势会把安全数据开放给开发者,包括风险数据的提示,伪基站信息、诈骗短信、诈骗号码等防诈骗能力,反病毒能力,把安全数据分享给行业客户。
在移动安全,百度倡导的是智能化、全球化。所谓的智能化,通过大数据和人工智能去深度做病毒的检测,全球化和大会主题也很相关,从全球化视野去做全球化的预警、感知和及时查杀,还提到开放化,百度会把安全能力开放给行业客户,和行业客户一起去抵御现在所面临的所有安全风险,为“互联网+”保驾护航,谢谢各位!
相关文章
- 5条评论
- 森槿囍神2022-05-28 00:45:52
- ,在企业当中做安全宣讲,安全播报,关注安全热点事,安全有新的漏洞发布在内部及时进行通告,制定安全规范。提高安全代码等级。我们发现几乎所有的安全应用漏洞都可以在编写代码时进行提前修复,
- 南殷云胡2022-05-28 03:57:04
- 度倡导的是智能化、全球化。所谓的智能化,通过大数据和人工智能去深度做病毒的检测,全球化和大会主题也很相关,从全球化视野去做全球化的预警、感知和及时查杀,还提到开放化,百度会把安全能力开放给行
- 末屿杞胭2022-05-28 01:45:20
- 热点事,安全有新的漏洞发布在内部及时进行通告,制定安全规范。提高安全代码等级。我们发现几乎所有的安全应用漏洞都可以在编写代码时进行提前修复,安全团队里我们建议设置安全技
- 闹旅浪胚2022-05-27 21:04:06
- 这里我和大家分享移动安全支付所面临的问题。在近期百度移动安全团队对四个品类62个应用进行了分析,包含了手机银行、电商、第三方支付以及保险理财四个品类,我们找了62款最热门的应用。在中国尤其Android用户下载应用要通过不同的渠道,
- 泪灼云胡2022-05-28 03:14:52
- 广告条之后会诱导到填写个人信息页面,包括用户的帐号、密码、手机号之外,用户填写完成,提交之后让用户会有抽奖的活动,用户很高兴,中了一个20元的话费。之后会有弹窗提示分享到好友,这样用户看到会大规模通过微信、微博、朋友圈、邮箱