基于安卓系統移動支付安全性研究

趙明洋

?

基于安卓系統移動支付安全性研究

趙明洋

中國南方航空河南航空有限公司，河南 鄭州 450048

伴隨著電子技術的快速發展，移動支付出現在人們的視野中，極大地方便了人們生活的同時也給人們的資金安全帶來一定風險。從移動支付的安全需求說起，結合安卓系統平臺，提出了移動支付應用中存在的主要問題，并且提出了幾點安全策略。

移動支付；安卓系統；安全性

隨著移動設備的普及，移動設備操作系統的發展，虛擬貿易的成熟，移動支付開始走進人們的生活。受經濟利益驅使，越來越多的攻擊者將移動支付作為主要攻擊目標，這也導致了針對移動支付軟件的假冒APP和惡意行為大量滋生，從而對用戶的財產造成損失，產生的風險還可能對其他相關行業造成嚴重危害。因此，必須加強移動支付的安全研究[1]。

1 移動支付的安全需求

基于安卓系統移動支付通過WAP無線應用協議技術接入無線網絡，由于其通用的操作平臺，便捷的交互方式以及快速的使用方法，再配合多樣化的業務發展，用戶群體數量激增，但由此引發的安全問題也日益凸顯。為了保證移動支付系統的安全穩定，一般要求達到以下幾個安全指標：（1）信息的機密性，無線網絡的開放性，使通信信息隨時可能被非法用戶截取，故要求通過加密方式，保證任何第三方無法從截取數據中獲得有價值的信息。（2）數據的完整性，要求提供一定的方法，檢測出信息是否遭到非法用戶的篡改或破壞。（3）認證性，進行交易前，要求交易雙方能相互鑒別身份的有效性和真實性，同時，在使用終端進行支付時，終端對用戶身份合法性的驗證也是必不可少的一個環節。（4）不可否認性，一般為了防止用戶對支付信息的抵賴行為，要求實現不可否認性，以證明消費者確實發送了相關的數據。

2 移動支付應用安全問題

2.1 漏洞威脅

艾瑞調查顯示，近六成智能手機用戶表示在使用手機銀行時最擔心手機安全問題，而手機安全最大的威脅便是手機安全漏洞。利用智能手機操作系統自身漏洞，可以在不破壞APP數字簽名的情況下，實現偷賬號、竊隱私、打電話或發短信等任意行為。如2013年7月，Bluebox公司曝光的安卓系統簽名漏洞，可以讓第三方程序插件通過Remote Support得到存取權限，控制設備的屏幕和使用OEM發出授權證書。2015年8月，安全公司Check Point發現了安卓系統新漏洞Certifi-gate，手機一旦被不法分子控制，將面臨手機支付功能被非法復制、客戶資金流失的威脅[2]。

2.2 偽基站、釣魚網站的威脅

不法分子利用與電信運營商的無線基站同頻的偽基站，搜索附近的手機卡信息，然后偽裝成運營商或冒充95588等銀行號碼發送廣告或詐騙短信。誘騙中招者訪問虛假網銀，盜刷銀行賬戶資金；或誘導受害者下載手機木馬，達到盜刷支付賬戶的目的。偽基站使用的電信運營商或銀行的官方號碼，通常被手機安全軟件列入白名單。號碼管理軟件不能識別和攔截其發送的短信，具有很強的迷惑性。手機用戶若訪問虛假網銀或下載安裝了手機木馬，其支付賬戶安全將受到威脅。目前，手機客戶端軟件打開的網址還無法被手機安全軟件捕獲，二維碼掃描工具也不具備識別惡意網址的能力。隨著手機支付的發展，各大網絡銀行、淘寶、微信等釣魚網站在網絡中肆意傳播，通過發送各種商品銷售優惠信息、銀行賬號的電子密碼器等更新信息鏈接到釣魚網站，對手機支付賬戶造成威脅。

2.3 惡意程序的威脅

惡意程序的威脅主要包括病毒和木馬。病毒能未經允許私自下載軟件并安裝，竊取銀行賬號及密碼，盜走資金。如“洛克蠕蟲”病毒，木馬程序在手機后臺運行，監視受害者短信，攔截銀行、支付平臺等發來的短信，然后將這些短信聯網上傳或轉發到黑客手機中。黑客利用此木馬配合受害者身份信息重置支付賬戶，盜取資金。根據360安全中心的調查，安卓的木馬傳播者將病毒直接嵌入水貨新機系統固件，普通用戶無法刪除。木馬安裝后，自動出現在被嵌手機中，并在鎖屏或深夜時發來短信定制SP業務，消耗用戶費用。

2.4 信息泄露

移動電話等信息被截獲，容易導致信息泄露，威脅著移動支付安全。網上有售賣竊聽裝置的，這種裝置可以在任何地方攔截移動電話，能同時監控20個電話號碼，并顯示手機的短信和來電顯示內容。手機上的所有信息存儲在手機的內存芯片中，人們處置更換下來的手機時，通常選擇賣給舊貨市場，但往往只是取出SIM卡和存儲卡，不刪除手機內存儲的信息，這就很容易泄露個人隱私。

3 移動支付安全策略

3.1 數字簽名協議

數字簽名技術是移動支付中常應用的一項最主要的安全技術，交易雙方對自己出示的信息進行數字簽名，實現信息的可鑒別性和不可抵賴性。使用數字簽名技術后，接收者可確認其所接收信息的完整性，確定其是否遭受他人惡意破壞。另外，在將來的糾紛事件中，數字簽名可作為原始證據來使用[3]。

3.2 數字信封技術

數字信封技術是一種融合對稱加密和非對稱加密優點的一種安全技術，它有效解決了密鑰傳送過程中的安全問題。

第一步：隨機產生對稱密鑰，發送方利用該密鑰對所要發送的信息加密。

第二步：采用信封封裝的方式對公鑰加密上述對稱密鑰。

第三步：將第一步和和第二步的加密信息發送給接收方。

第四步：接收方收到信息后，用私鑰解密數字信封，獲得隨機對稱密鑰。

第五步：接收方用此對稱密鑰對接收到的消息進行解密，獲得信息原文。

3.3 完善法律法規

當前，很多國家的移動支付產業走入成熟期，相關的法律法規作為產業發展的重要支持，而我國的移動支付產業仍處于初級階段，問題重重，沒有相關的法律法規保障，該產業仍處于不冷不熱狀態。隨著移動支付產業優勢逐漸明顯，運營商之間的競爭逐漸激烈，采用合作方式實現資源共享、優勢互補是可行的，這個時候，電子支付牌照的發放顯得尤為重要。政府相關部門應規范和整頓移動支付的市場秩序，形成有利于運營商、銀行、第三方支付公司合作的商業模式，在產業鏈協調、信用制度、法律法規等方面解決問題，轉變人們的傳統支付觀念，促進移動支付的可持續發展。

3.4 樹立移動支付安全意識

對移動支付涉及的賬戶信息、電子郵箱、支付密碼、手機短信、驗證碼等信息要妥善保管，提高保密性。對移動支付流程中各個環節所產生的信息要有足夠的警覺性，確保信息的真實、完整和不可抵賴等。手機號碼變更后，涉及移動支付綁定的相關手機號碼要及時更換。

4 結論

移動支付作為21世紀的新興支付方式，已在廣大人民群眾中掀起一股熱潮，智能手機的安全需要聯合運營商、設備提供商、安全軟件提供商和手機用戶等多層面的力量來構建。我國要想促進社會經濟發展，必須推動電子商務發展，政府積極主動地為移動支付產業的發展清除障礙，為其營造健康的發展環境。

[1]潘愛民.基于安卓的移動支付系統的設計探討[J].通信世界，2015（19）：208.

[2]梁春雷.基于安卓平臺移動支付的應用和安全研究[J].電子世界，2014（13）：18.

[3]王長杰，王衛華.移動支付交易中存在的安全風險及對策研究[J].雞西大學學報，2015（10）：52-54.

Based on the Android Mobile Payment Security Research

Zhao Mingyang

China Southern Airlines Henan Airlines Co., Ltd., Henan, Henan Zhengzhou 450048

along with the rapid development of electronic technology, mobile payment appear in people’s horizons, greatly convenient people’s life and also bring some risk people capital is safe.Speak of from the security requirements of mobile payment, this paper combined with the android platform, puts forward the main problems existing in the mobile payment application, and puts forward some security policy.

mobile payment;the android system;security

TP393.08

A

1009-6434（2016）08-0059-02