近日,360互联网安全中心发布国内首个移动支付安全报告《中国移动支付安全报告》。报告显示,2013年,中国手机支付用户规模达到1.25亿,同比增长了126.0%。。手机支付用户的增长速度远远高于网民总规模的增长速度和手机网民规模的增长速度。2014年成中国移动支付元年。
但是,由于智能手机系统的某些先天性不足,移动支付安全一直受到手机安全漏洞和各类手机木马的威胁,也是各类诈骗短信攻击的目标。
针对移动支付面临的种种安全威胁,360与建设银行、农业银行、工商银行、中国银行、民生银行等十余家银行展开了安全服务合作,为手机网银客户端提供独立的移动支付安全模块定制服务,该模块被集成到手机网银客户端中,从而全面提升手机网银客户端的安全性。
360提供的移动支付安全模块包括七项主要功能:盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证。
一、 盗版网银识别
深度集成的支付安全模块在网银客户端启动过程中,可以检测网银客户端是否遭到了第三方恶意注入或篡改,以确保手机网银客户端为官方出品。
二、 木马病毒查杀
支付安全模块可以通过快速扫描以判断当前手机是否存木马病毒,并引导用户在支付之前完成处理操作,以避免由木马病毒所造成的财产损失。
三、 网络环境监控
支付安全模块可以在网银启动后,对手机网络进行监控和扫描,尤其是当网络环境发生变化时,支付安全模块会自动感知到网络的变化并自动进行检测,检测内容包括当前WiFi网络是否未设置密码、DNS是否被篡改及是否存在WiFi钓鱼等情况。一旦检测发现问题,该模块会立即提示用户,方便用户更改网络设置,以保证手机网银操作的安全性。
四、 支付环境监控
支付环境监控功能着眼于用户在手机支付流程中的全方位安全保护。支付安全模块不仅会在手机网银客户端启动时检测手机上正在运行的程序是否有不安全因素,在用户进入支付环节时,会再次检测手机环境是否安全,包括是否有盗版软件,是否有木马病毒。下面两图为支付安全模块在支付之前发现安全威胁的示意图。
五、 网址安全扫描
当用户使用网银访问应用程序中出现的链接时,支付安全模块还会对每个链接进行安全性扫描,以防止应用中出现的链接被恶意代码或木马病毒篡改。
六、 二维码扫描监控
支付安全模块提供二维码链接扫描功能。当用户使用网银进行二维码扫描时,扫描成功后,支付安全模块会立即对扫描后得到的内容或链接进行云端安全检测。
七、 短信加密认证
目前大多数网银及银行类应用在支付验证过程中采用手机短信验证码的认证方式,一旦该短信被盗号软件之类的恶意程序获取,会给用户造成严重的经济损失。
而移动支付安全模块则可以为银行短信提供加密传输服务,第三方应用无法直接获取到有效信息,即使恶意程序对加密验证码进行暴力解密,所需的时间也远远超过了该验证短信的实际有效期,这就从根本上解决了Android系统短信验证码容易泄露的问题。
