移动支付时代,安全隐患解决之道?
从传统的到商铺使用现金消费,到刷卡支付、手机点开支付宝或微信支付等第三方支付平台交话费、买衣服、点外卖、理财、转账的消费方式,移动支付以其便捷、全面、高效的支付体验服务成为时代潮流。
近场支付OR远程支付 安全吗?
移动支付通过移动通信网络实现的商业交易动作。移动支付所使用的移动终端可以是手机、PDA、移动PC端等。按支付距离,移动支付也分为远程支付和近场支付。
远程支付以移动网络为支撑点,借助短信、GPRS等空中接口,打通后台支付系统,从而实现转账、消费等支付功能。通俗点来说,就是京东商城、淘宝、聚美等网上商城,通过银联、支付宝、微信等线上支付渠道来实现的商品支付。
近场支付是利用NFC(射频)、红外线、蓝牙等技术,用户在进行消费活动时,现场通过手机向商家进行支付,实现手机移动端与POS机的资金转移的线下过程。我们生活中接触到的,闪付卡(遵从银联PBOC3.0标准的各银行发行的带电子钱包的银行借记卡或信用卡。)、手机在商铺、公交等刷POS机的过程。
移动支付,安全问题成最大隐患
通观整个移动支付体系,其构成要素主要有客户端、网络通信、应用服务端三大部分,安全漏洞也主要在以上三个地方滋生。
1、客户端程序编译漏洞
移动支付最典型的客户端即为智能手机,且多为安卓系统。
比较常见的还有基于短信、网站欺诈的钓鱼欺骗。很多不法分子通过伪造或者仿冒银行专用短信号码,向客户发送程序升级、客户信息设置过期等诈骗短信,诱导用户前往钓鱼网站输入登录名、卡号、设备密码等关键信息,之后同步使用客户的账号、密码来登录应用,非法盗取用户信息牟利。
2、网络通信传输隐患
通信信道在输送过程中,信息在大量的组织和节点中流转,如ISP的路由器、交换机、骨干网络等。要是采用普通的http协议,不法分子可以随意侵入任何一个节点,都有可能窃取、修改传输数据,造成数据泄露。
为了避免此种问题的发生,业界补救办法是采用标准的https协议。然而2013年国内某机构网络安全中心在日常终端安全审计中发现,在Android平台中使用https通讯的APP绝大多数都没有安全地使用Google提供的API,结果直接导致https通讯中的敏感信息泄漏甚至远程代码执行。
3、应用服务端安全
尽管我们采用了安全的加密信道、通信内容加密,设置了网络防火墙,但攻击者利用分布式服务器,导致服务端运行变慢逐渐瘫痪。这也就是俗称的“DDoS攻击”。
当移动支付对输入值的合法性判断不够完备,有可能改变SQL查询语句原先的语义,使执行任意的SQL命令,泄露或篡改SQL数据库的敏感数据。
移动支付,请装上“保护壳”针对以上的安全风险,我们又该如何应对及防护呢?
1、客户端程序安全“加壳”
针对android系统的智能手机存在的风险,通用的方法是“加壳”,通过对应用程序本身的加密保护,提高被攻击的难度,从而有效降低风险。
2、过滤DDoS攻击请求
应用服务端可能面临的DDoS攻击,可以在网络层尝试进行入侵检测和控制。
总之,凡是涉及互联网移动支付的消费活动,都存在一定的安全隐患。特别是线下支付时,选用安全性、稳定性、高端技术类的系统软件才更能保障自身的财产安全,让移动支付平台发挥更大的作用,给人类的生活带来启发式变革。