国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

手機(jī)支付的安全研究

2016-08-18 20:30葉杰峰張永晟張涵劉穎
電腦知識(shí)與技術(shù) 2016年19期
關(guān)鍵詞:法律法規(guī)

葉杰峰 張永晟 張涵 劉穎

摘要:新的手機(jī)支付方式的出現(xiàn),改變了以往支付的格局并以井噴之勢(shì)得到發(fā)展。隨后,保證手機(jī)支付安全也就成了進(jìn)一步發(fā)展的關(guān)鍵。文中從智能手機(jī)物理機(jī)制漏洞、智能手機(jī)應(yīng)用程序漏洞、智能手機(jī)支付其他方面的威脅三個(gè)方面闡述手機(jī)支付潛在的威脅,并提出了利用技術(shù)手段、提高用戶手機(jī)安全意識(shí)、統(tǒng)一標(biāo)準(zhǔn),建立信用黑名單機(jī)制、完善相關(guān)法律制度等相應(yīng)的解決措施,為手機(jī)支付的安全保駕護(hù)航。

關(guān)鍵詞:手機(jī)支付;軟硬件漏洞;無(wú)線安全;法律法規(guī)

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2016)19-0260-03

隨著電子商務(wù)的成長(zhǎng),現(xiàn)有現(xiàn)金支付體系已遠(yuǎn)遠(yuǎn)滿足不了電子商務(wù)成長(zhǎng)的需求,各大金融機(jī)構(gòu)開(kāi)始進(jìn)行網(wǎng)上銀行等多種支付方式嘗試,而手機(jī)支付由于其方便快捷的支付而受到廣大用戶的青睞,發(fā)展迅速。然而,在這簡(jiǎn)單的背后,其安全性也漸漸走進(jìn)人們的視野,,因此我們很有必要以智能手機(jī)支付為中心分析其安全問(wèn)題,并通過(guò)實(shí)際可行的方案提高手機(jī)支付的安全性。

1 智能手機(jī)支付發(fā)展的近況

自2011起,智能手機(jī)得到普及并伴隨著3G網(wǎng)絡(luò)的實(shí)現(xiàn),大量應(yīng)用軟件從電腦端轉(zhuǎn)向了手機(jī)端,手機(jī)購(gòu)物也愈發(fā)得到發(fā)展。某公司推出的“光棍節(jié)”和“雙12”[1]締造驚人業(yè)績(jī)的背后,手機(jī)購(gòu)物鎖占的比重越來(lái)越大,平均每七個(gè)用戶在用電腦訪問(wèn)的同時(shí)就有一個(gè)手機(jī)用戶在使用其公司推出的APP進(jìn)行購(gòu)物的相關(guān)操作,并漸漸地改變著人們的生活習(xí)慣,是人們的碎片時(shí)間得到了填補(bǔ),人們對(duì)生活更加滿意更加充滿興趣。用戶只需要按其步驟進(jìn)行簡(jiǎn)單的操作便可得到個(gè)人專屬的應(yīng)用體驗(yàn),實(shí)現(xiàn)購(gòu)物、繳費(fèi)、投資、還款、轉(zhuǎn)賬,手機(jī)充值、出行旅游與計(jì)劃安排等遠(yuǎn)程非面對(duì)面支付功能。不僅如此,它的服務(wù)更加全面,技術(shù)支持安全可靠,很好地解決了傳統(tǒng)面對(duì)面支付的費(fèi)力與繁瑣。

2 智能手機(jī)支付存在的威脅

目前我國(guó)的移動(dòng)支付產(chǎn)業(yè)還處于上升期,安全性是手機(jī)支付最核心的問(wèn)題,大部分手機(jī)還沒(méi)有安全軟件的全方位保護(hù),這為黑客發(fā)揮技術(shù)又是提供了更為廣闊的空間。

2.1 智能手機(jī)物理機(jī)制漏洞

許多智能手機(jī)設(shè)置了原廠安裝的九宮格鎖,以及安裝QQ、微信、支付寶等APP軟件,可以通過(guò)技術(shù)手段繞過(guò)安全防護(hù)直接進(jìn)入手機(jī)界面。打開(kāi)手機(jī)屏幕后,要求繪制解鎖圖案才能打開(kāi)手機(jī)。該圖案由九個(gè)點(diǎn)組成,必須同時(shí)滿足三個(gè)條件才能設(shè)置或者解鎖:至少連接的點(diǎn)數(shù)為四、最大連接的點(diǎn)數(shù)為九、設(shè)置的點(diǎn)互斥即不重復(fù)。

解鎖屏幕鎖的2種方式:

(1)把手機(jī)連接至電腦并安裝相應(yīng)的驅(qū)動(dòng)程序,同時(shí)在網(wǎng)上下載一個(gè)名叫“刷機(jī)大師”[2]的PC端軟件。因?yàn)槭謾C(jī)未經(jīng)ROOT,所以必須用刷機(jī)大師對(duì)手機(jī)進(jìn)行獲取最高權(quán)限即ROOT,重啟以后再點(diǎn)擊“清除鎖屏密碼”。之后手機(jī)屏幕鎖早已經(jīng)消失,煥之的是平常一樣的屏幕鎖,滑動(dòng)即可進(jìn)入主頁(yè)面。

該P(yáng)C軟件最初的初衷是解決不會(huì)安裝應(yīng)用軟件,為求方便、快捷忘記手機(jī)屏幕鎖的一些人,但如果被特定的人利用,相冊(cè)里面的含有個(gè)人信息的照片、短信、聯(lián)系人特別是有親屬關(guān)系的人(通常會(huì)被備注“爸爸”“媽媽”),QQ、微信、支付寶等安全性的后果可想而知。

(2)根據(jù)手機(jī)屏幕九宮格的特點(diǎn),可以明確圖案的總數(shù):4個(gè)點(diǎn)為9×8×7×6=3024,5個(gè)為15120,6個(gè)為60480,7個(gè)為181440,8個(gè)、9個(gè)均為36288,則總數(shù)為485824個(gè)。這個(gè)數(shù)字相對(duì)于現(xiàn)在的破解技術(shù)來(lái)說(shuō)復(fù)雜度并不高,破解相當(dāng)容易,只要一個(gè)字典進(jìn)行暴力破解即可,或者直接用命令行執(zhí)行RM[3]。不過(guò)為了讓用戶明白具體的運(yùn)行機(jī)制,我們對(duì)其過(guò)程進(jìn)行分析實(shí)驗(yàn)。

打開(kāi)九宮格設(shè)置圖案,隨意畫一個(gè)九宮格圖案。雖然手機(jī)上顯示給我們的是簡(jiǎn)單的圖案,可智能手機(jī)已經(jīng)把每個(gè)點(diǎn)進(jìn)行轉(zhuǎn)化組成一串?dāng)?shù)字并通過(guò)某種加密方式進(jìn)行了存儲(chǔ),保存到手機(jī)系統(tǒng)文件夾中,即:手勢(shì)圖案→數(shù)字轉(zhuǎn)化加密→密文存儲(chǔ)。該系統(tǒng)對(duì)每個(gè)點(diǎn)進(jìn)行了如下定義:第一個(gè)點(diǎn)為00,從左往右依次為01、02直至08,如圖1所示。所以我們隨意畫的九宮格圖案所構(gòu)成的數(shù)字串000102050807060304。由于加密算法SHA1是不可逆的,我們只能用測(cè)試的方法進(jìn)行對(duì)比求證,文本內(nèi)容為000102050807060304 文本長(zhǎng)度為18 字節(jié)。該文本的MD5為E73ED4F6CA7C3274774BFFA3C0B2F2AC,SHA1為03F0 65F391392340D3E3A45C5EF80B90B0FDEC7D。計(jì)算好密文后系統(tǒng)會(huì)將密文自動(dòng)保存在手機(jī)的gesture,key文件中,我們利用控制臺(tái)命令導(dǎo)出到PC端。經(jīng)測(cè)試用十六制編輯器[4]打開(kāi)可以正確顯示密文,否則會(huì)出現(xiàn)亂碼。與gesture,key文件中的密文進(jìn)行對(duì)照03F065F391392340D3E3A45C5EF80B90B0FDEC 7D。其結(jié)果一樣。

通過(guò)實(shí)驗(yàn)解鎖手機(jī)屏幕的方式,我們已經(jīng)成功地進(jìn)入了手機(jī)的主界面,便可隨心所欲的翻看相冊(cè)、通話記錄、聯(lián)系人、短信、QQ、微信、支付寶,獲取有價(jià)值的信息。

圖1 各點(diǎn)的編號(hào)和所畫的圖案

2.2 智能手機(jī)應(yīng)用程序漏洞

對(duì)手機(jī)某支付軟件進(jìn)行分析試驗(yàn),通過(guò)修改數(shù)據(jù)庫(kù)進(jìn)入該支付軟件的主界面,登錄自己的賬戶及設(shè)置相應(yīng)的手機(jī)密碼,根據(jù)智能手機(jī)的屏幕鎖的思路對(duì)其進(jìn)行分析,對(duì)次數(shù)限制進(jìn)行突破,用某手機(jī)助手進(jìn)行文件定位。根據(jù)其文件結(jié)構(gòu)及文件命名的方式和特點(diǎn),lipayclient.adb可能保存有我們?cè)O(shè)置的密碼,導(dǎo)出本地后用SQLite Expert Personal 3打開(kāi),發(fā)現(xiàn)userinfo保存了用戶名、手勢(shì)密碼、手機(jī)號(hào)、輸入錯(cuò)誤次數(shù)等信息[5],顯然這些都是被加密了,如圖2。

圖2 加密后的userinfo

我們用ApkIDE[6]對(duì)其APP進(jìn)行apk解包分析,然后搜索gestureErrorNum,結(jié)果如圖3所示。

圖3 搜索關(guān)鍵字gestureErrorNum

經(jīng)過(guò)分析定位,在C:\Users\凱迪\Desktop\手機(jī)安全ApkIDE3\ApkIDE\Work\com.eg.

android.AlipayGphone\smali\com\alipay\mobile\framework\service\ext\security\dao下找到UserInfoDao.smali。截取了部分代碼:

invoke-virtual {v1, v0}

...

set getGestureErrorNum (Ljava/lang/String;)V

:cond_1

const-string/jumbo v0, "gestureSkip"

invoke-interface {v2, v0}, Landroid/database/Cursor;-> getGestureErrorNum (Ljava/lang/String;)I

move-result v0

const/4 p3, -0x1

invoke-virtual {v1, v0},

Lcom/alipay/ UserInfo;->setGestureSkip(Z)V

:cond_4

invoke-interface {v2, v0}, Landroid/database/Cursor;-> getGestureErrorNum Ljava/lang/String;)I

const/4 v3, -0x1

if-eq v0, v3, :cond_5

經(jīng)過(guò)對(duì)比分析我們把UserInfoDao.smali文件中的p3的值改成0.保存修改文件然后進(jìn)行打包安裝,隨意輸入各種手勢(shì)的密碼,該支付APP始終顯示“密碼錯(cuò)了,還可以輸入5次”的字樣。至此,手勢(shì)密碼中錯(cuò)誤限制已經(jīng)被我們解除了,可以進(jìn)行字典破解的方式進(jìn)行獲取手勢(shì)密碼。但為了更好地贏得打開(kāi)界面的時(shí)間,我們進(jìn)行g(shù)esturePwd的修改。在數(shù)據(jù)庫(kù)中存在著用手勢(shì)密碼的存儲(chǔ)段,搜索gesturePwd函數(shù),經(jīng)過(guò)一一排除,最終定位了e.smali的文件,在文件的69行有段關(guān)于a函數(shù)的跳轉(zhuǎn).由于代碼比較長(zhǎng),把關(guān)鍵內(nèi)容進(jìn)行了注釋:

#取得UserInfo內(nèi)容

#在getGesturePwd函數(shù)取得手勢(shì)密碼

#StringBuilder得到明文手勢(shì)密碼的值

#在 getUserId函數(shù)上用DES進(jìn)行加密獲取user id

#StringBuilder取得userid

#寄存器v0取得字符串,該字符串取得輸入手勢(shì)的密碼+加密后的userid

#調(diào)用sha1加密算法并得出hash值

#在getGesturePwd函數(shù)上取得手勢(shì)密碼

#比對(duì)輸入的密碼和正確的密碼

...

move-result v0

if-eqz v0, :cond_1

看到最后2行,這個(gè)便是跳轉(zhuǎn)的關(guān)鍵,若返回false便會(huì)跳轉(zhuǎn)到cond_1。該cond_1的主要作用便是獲取當(dāng)前輸入的錯(cuò)誤次數(shù),然后再加上1,之后再次調(diào)用函數(shù)進(jìn)行重新記錄。如果2個(gè)字符串相同,錯(cuò)誤次數(shù)便被記錄為0。此時(shí)在if-eqz v0, :cond_1前加patch v0保存修改編譯打包,然后隨意輸入手勢(shì)密碼即可進(jìn)入主界面。如果該手機(jī)開(kāi)啟了小額免密支付[7],這個(gè)資金已經(jīng)被“消費(fèi)”了。

2.3 智能手機(jī)支付其他方面的威脅

2.3.1 用戶的行為習(xí)慣

用戶使用手機(jī)的行為習(xí)慣很大程度地決定手機(jī)的安全機(jī)能,如果用手機(jī)經(jīng)常購(gòu)物,像財(cái)付通、支付寶、微信支付[8]等業(yè)務(wù)或者控件肯定處于開(kāi)通狀態(tài),并綁定了手機(jī)號(hào)、銀行卡、身份證信息,同時(shí)為了方便通常都是默認(rèn)保存密碼、默認(rèn)自動(dòng)登錄,或把自己的身份證信息、銀行開(kāi)信息拍成照片保存在手機(jī)里,更有甚者連屏幕的九宮格鎖都不進(jìn)行設(shè)置,如此這些行為為手機(jī)支付的安全埋下了隱患,萬(wàn)一手機(jī)丟失這將是一種潛在的俄威脅,無(wú)形的漏洞。

2.3.2 無(wú)線網(wǎng)絡(luò)存在不安定因素

手機(jī)支付常使用的是WAP標(biāo)準(zhǔn)和WLAN的802.11標(biāo)準(zhǔn),WAP中的WTLS協(xié)議僅僅加密有WAP發(fā)送到WAP網(wǎng)關(guān)數(shù)據(jù),數(shù)據(jù)經(jīng)過(guò)SSL傳至網(wǎng)關(guān)上有短暫時(shí)間處于明文狀態(tài)[9]。

3 手機(jī)支付安全應(yīng)采取的對(duì)策

3.1 利用技術(shù)手段提高安全性

手機(jī)用戶應(yīng)該安裝手機(jī)安全軟件,保護(hù)手機(jī)的安全性。手機(jī)安全軟件是一套軟件體系,它應(yīng)具有病毒查殺、騷擾攔截、軟件權(quán)限管理、手機(jī)防盜及安全防護(hù)功能,用戶流量監(jiān)控、空間清理、體檢加速、軟件管理等高端智能化功能也是現(xiàn)在絕大部分手機(jī)安全軟件的功能。

3.2 提高用戶手機(jī)安全意識(shí)

手機(jī)支付安全最大的威脅來(lái)自于用戶,手機(jī)用戶應(yīng)加強(qiáng)支付安全方面的意識(shí),對(duì)重要提醒信息應(yīng)該認(rèn)真閱讀,切忌一鍵式“下一步”。同時(shí)對(duì)每個(gè)應(yīng)用程序設(shè)置單獨(dú)的安全性好的密碼,切忌“密碼一卡通”。用戶可以根據(jù)應(yīng)用軟件的性質(zhì)、結(jié)構(gòu)、特征、版本號(hào)來(lái)設(shè)置密碼,即一個(gè)程序一個(gè)密碼。手機(jī)用戶的支付要有跡可循,如果發(fā)生了支付頁(yè)面跳轉(zhuǎn),中間的流程有可能無(wú)法掌握,全額賠付有待商榷[10]。

3.3 統(tǒng)一標(biāo)準(zhǔn),建立信用黑名單機(jī)制

國(guó)家的相關(guān)部門應(yīng)統(tǒng)一手機(jī)支付技術(shù)標(biāo)準(zhǔn),劃定安全技術(shù)的實(shí)施范圍,督促運(yùn)營(yíng)商完善相關(guān)設(shè)施。建立健全支付信用等級(jí)制度和黑名單時(shí)效制度。消除信用的灰色層面,清理信用死角。

3.4 完善相關(guān)法律制度

我國(guó)雖有幾部關(guān)于電子支付范疇的法律法規(guī),如《非金融機(jī)構(gòu)支付管理辦法》、《電子支付指引》[11],這些法律的立法層次不高,法律體系不健全,執(zhí)行起來(lái)有難度等問(wèn)題,所以我國(guó)應(yīng)該從橫向和縱向建立相關(guān)的法律制度,為手機(jī)支付提供依靠力與執(zhí)行力。

智能手機(jī)支付的優(yōu)勢(shì)明顯,市場(chǎng)前景廣闊,但由于手機(jī)支付的安全性制約著發(fā)展。只有手機(jī)用戶的安全意識(shí)得到提高,用戶養(yǎng)成合理安全的操作習(xí)慣,國(guó)家建立統(tǒng)一的手機(jī)支付技術(shù)標(biāo)準(zhǔn)和監(jiān)管體系,手機(jī)支付將會(huì)迎來(lái)一個(gè)春天,為我國(guó)這個(gè)產(chǎn)業(yè)提供嶄新的發(fā)展平臺(tái),為我國(guó)的經(jīng)濟(jì)長(zhǎng)期發(fā)展做出應(yīng)有的貢獻(xiàn)。

參考文獻(xiàn):

[1] 孟健,陳少芬.基于NFC手機(jī)支付的應(yīng)用研究[J].2008(8):70-75.

[2] 賈凡,佟鑫.NFC手機(jī)支付系統(tǒng)的安全威脅建模[J].清華大學(xué)學(xué)報(bào),2012,52(10):1460-1464.

[3] 劉親親,包陽(yáng)陽(yáng).電子支付安全研究述評(píng)[J].東方企業(yè)文化,2010(18):229-229.

[4] 杜文才,顧劍,周曉誼.解決電子商務(wù)中大眾支付的安全問(wèn)題關(guān)鍵方案[J].電子科技大學(xué)學(xué) 報(bào),2011,36(S1): 34-36.

[5] 周建華.淺談手機(jī)移動(dòng)支付中的安全問(wèn)題[J].吉林工商學(xué)院學(xué)報(bào),2012,28(5):102-105.

[6] 王永剛.淺析中國(guó)手機(jī)支付業(yè)務(wù)將要面對(duì)的挑戰(zhàn)[J].硅谷,2010(17):37-38.

[7] 夏志瓊,吳新民.如何保障移動(dòng)支付的安全[J].中國(guó)信用卡,2012(8):62-64.

[8] 十立.手機(jī)丟了網(wǎng)上錢包怎么保[J].大眾科學(xué),2014(4):62-63.

[9] 王武.手機(jī)移動(dòng)支付及應(yīng)用探討[J].電信技術(shù),2012(S1)196-198.

[10] 夏志瓊,吳新民.移動(dòng)支付安全拷問(wèn) 盡快建立標(biāo)準(zhǔn)和產(chǎn)品[J].新經(jīng)濟(jì),2013(7):78-79.

[11] 張?zhí)彀?,張明?移動(dòng)支付安全業(yè)務(wù)系統(tǒng)設(shè)計(jì)方案[J].信息技術(shù)與標(biāo)準(zhǔn)化,2011(4):25-28.

猜你喜歡
法律法規(guī)
圖說(shuō)工會(huì) 工會(huì)這10年——推動(dòng)完善維護(hù)職工權(quán)益相關(guān)法律法規(guī)(四)
基于中外法律法規(guī)的玩具產(chǎn)品化學(xué)性能比較研究
我國(guó)學(xué)校體育法律法規(guī)體系構(gòu)建路徑
7月起將施行新的法律法規(guī)
《中國(guó)外匯管理法律法規(guī)全集》廣告
法律法規(guī)與民生新聞
海外房屋出租市場(chǎng)法律法規(guī)
日本空氣環(huán)境保護(hù)法律法規(guī)探討
404 Not Found

404 Not Found


nginx
华亭县| 昆明市| 衡阳县| 河东区| 马边| 龙里县| 松溪县| 玉田县| 金堂县| 江门市| 天津市| 自治县| 辛集市| 武夷山市| 和田县| 辽中县| 秭归县| 龙里县| 黎城县| 玉屏| 香港 | 云南省| 砀山县| 尉氏县| 闽侯县| 黄骅市| 安宁市| 北宁市| 普安县| 南康市| 潞城市| 沈丘县| 晋中市| 青川县| 秦皇岛市| 内江市| 大同市| 寿宁县| 晋江市| 泰兴市| 巴林左旗|