如今，移动支付已经深入到我们的日常生活与工(gōng)作(zuò)之中(zhōng)，移动支付所面临的风险问题也日益凸显。无论是手机支付、人脸支付、物(wù)联网支付还是云支付，其安(ān)全风险一直都存在。如采用(yòng)简单密码、通信过程未加密、没有(yǒu)更新(xīn)补丁等诸如此类高危漏洞风险，任何一处风险都有(yǒu)可(kě)能(néng)使得威胁扩散到整个网络与核心系统，从而造成安(ān)全隐患。

NO1：新(xīn)型BankBot木(mù)马

新(xīn)型BankBot木(mù)马配置灵活，执行开关受服務(wù)端控制；根据C&C端下发的指令进行遠(yuǎn)程控制；窃取用(yòng)户隐私，对全球多(duō)家金融类app劫持，钓鱼登录界面，进而截获、捕捉用(yòng)户输入数据，最终非法入侵用(yòng)户互联网账户系统。

NO2：非法窃取

2019年3月14日杭州*网科(kē)技(jì )被举报，其控制的服務(wù)器通过数据窃取组件，来收集電(diàn)话联系人列表，地理(lǐ)位置和QQ登录信息，该组件存在于第三方商(shāng)店(diàn)提供的多(duō)达12个Android应用(yòng)程序中(zhōng)。据悉，窃取信息的代码隐藏在看似安(ān)全的应用(yòng)程序中(zhōng)的数据分(fēn)析软件开发工(gōng)具(jù)包（SDK）中(zhōng)，并在手机重新(xīn)启动或受感染的应用(yòng)程序启动时提供详细信息。

NO3：不规范应用(yòng)

2019年2月份，有(yǒu)网友抓包了*迹天气的数据，发现*迹天气在上传信息的时候会连同用(yòng)户的wifi账户一起上传。2018年3月28日晚，央视财经频道《经济半小(xiǎo)时》报道：WiFi万能(néng)钥匙和WiFi钥匙软件通过攻破网络，明目张胆地掌握个人或商(shāng)业机构、國(guó)家重要机关的隐私及信息。

NO4：恶意篡改

某支付SDK被xposed框架进行hook攻击后，修改其本地支付结果，造成未支付情况下的本地支付成功。

NO5：短信钓鱼

尊敬的Apple用(yòng)户您好：您有(yǒu)台离線(xiàn)的iPhone设备正通过iTunes异地联网刷机，系统已定位。最新(xīn)报告的iPhone位置将显示24小(xiǎo)时。点击前往www.apple.mwios.cn 获取更多(duō)帮助。

除此之外，事实上移动应用(yòng)还面临着越界提取、二次打包、勒索、破解、信息劫持、APT攻击、SDK滥用(yòng)等诸多(duō)风险威胁。面对这些问题，政府、运营商(shāng)、行业用(yòng)户等，除按照监管机构的相关法律文(wén)件提高社会责任意识进行相应的资产(chǎn)合规自查之外，还需要进行移动应用(yòng)支付安(ān)全防护體(tǐ)系建设。

Q:那么如何进行安(ān)全防护體(tǐ)系的建设呢(ne)？

A:爱加密移动支付安(ān)全防护解决方案，从安(ān)全合规、风险防范、主动防御三方面来进行，為(wèi)业客户提供合规的风险前瞻性发现和针对性防护，提高移动应用(yòng)防护能(néng)力和运营效率。

客户端+SDK安(ān)全

针对目前移动应用(yòng)普遍存在的破解、篡改、劫持、盗版、数据窃取、钓鱼欺诈等各类安(ān)全风险，爱加密可(kě)為(wèi)用(yòng)户提供全面的移动应用(yòng)加固加密技(jì )术和攻击防范服務(wù)。包括Android应用(yòng)加固、iOS应用(yòng)加固、SO加固、SDK加固、H5加固、安(ān)全软键盘SDK、安(ān)全清场SDK、通信协议加密SDK、密钥白盒SDK等。

支付及认证安(ān)全

清场保护：爱加密自主研发的清场保护技(jì )术，综合运用(yòng)威胁检测技(jì )术、环境监测技(jì )术、云查杀技(jì )术，提供对移动应用(yòng)的启动/运行环境安(ān)全监测、高效率病毒/木(mù)马/恶意查杀。

页(yè)面防劫持保护：对恶意行為(wèi)实时监听拦截；客户端运行时监控Activity，如果发现Activity被覆盖，则提示用(yòng)户有(yǒu)安(ān)全风险存在，不要输入敏感信息。

网络及服務(wù)端安(ān)全

通信协议加密SDK：实现数据传输及通讯协议加密保护，保护App与服務(wù)器间的通信安(ān)全，经过数据传输加密后，抓包工(gōng)具(jù)在数据传输链路中(zhōng)，将截获不到明文(wén)信息。

移动互联网检测监控安(ān)全

移动应用(yòng)安(ān)全检测：分(fēn)為(wèi)静态分(fēn)析和动态分(fēn)析，检测移动应用(yòng)内部存在的安(ān)全风险，对发现的安(ān)全问题给出解决建议。提供高效，准确，完整的移动应用(yòng)安(ān)全分(fēn)析报告；协助开发/监管人员掌控移动应用(yòng)中(zhōng)存在的风险，有(yǒu)效提高移动应用(yòng)开发的安(ān)全性。

渠道监测：服務(wù)涉及600+渠道资源的数据监测、盗版APP识别和分(fēn)析。用(yòng)户通过渠道监测平台，可(kě)对所有(yǒu)推广渠道中(zhōng)的APP进行统一管理(lǐ)，第一时间发现盗版并规避安(ān)全风险。

兼容性测试服務(wù)：移动应用(yòng)端到端开发和测试解决方案，快速适配各种机型,同时捕获性能(néng)数据。分(fēn)為(wèi)基础测试和深度测试两种模式，主要依据黑盒测试而设计，其中(zhōng)功能(néng)模块及集成测试模块采用(yòng)的功能(néng)图法和判定表驱动法。

渗透测试服務(wù)

Android渗透测试：渗透技(jì )术工(gōng)程师模拟黑客方式对Android App分(fēn)别从程序/代码安(ān)全、调试安(ān)全、数据安(ān)全、加密算法安(ān)全、安(ān)全漏洞分(fēn)析、验证码机制安(ān)全、身份鉴别安(ān)全、支付机制安(ān)全越权、传输协议安(ān)全、通用(yòng)型接口漏洞检测等10大模块71个渗透测试项进行渗透分(fēn)析，可(kě)覆盖200项+移动Android安(ān)全渗透测试点。

 iOS渗透测试：渗透技(jì )术工(gōng)程师模拟黑客方式对iOS App分(fēn)别从程序/代码安(ān)全、数据储存和隐私安(ān)全、认证安(ān)全 、代码质(zhì)量和设置安(ān)全、网络通信安(ān)全、常见接口层安(ān)全漏洞等10大模块52个渗透测试项进行渗透分(fēn)析，可(kě)覆盖100项+移动iOS安(ān)全渗透测试点。

SDK 渗透测试：渗透技(jì )术工(gōng)程师模拟黑客方式对SDK-Android分(fēn)别从程序/代码安(ān)全、数据安(ān)全、漏洞安(ān)全 、协议安(ān)全4大模块16个渗透测试项进行渗透分(fēn)析，可(kě)覆盖50项+ 安(ān)全渗透测试点。

接口渗透测试：渗透技(jì )术工(gōng)程师模拟黑客方式对业務(wù)接口进行分(fēn)析，资产(chǎn)业務(wù)接口测试面覆盖：认证、校验、防重放、防转发等；移动业務(wù)功能(néng)数据层测试面覆盖：数据输入安(ān)全、数据输出安(ān)全、数据传输安(ān)全、数据储存安(ān)全等