Check Point專家點(diǎn)評(píng)移動(dòng)支付 高回報(bào)及低技術(shù)門檻為安全軟肋

責(zé)任編輯:editor006

2017-10-09 16:44:29

摘自:C114中國(guó)通信網(wǎng)

Check Point SandBlast Mobile 移動(dòng)安全研究員賀飛翔表示,當(dāng)下的銀行木馬攻擊具有高回報(bào)、低技術(shù)門檻的特點(diǎn)?!薄?/p>

眾所周知手機(jī)已經(jīng)深入中國(guó)百姓日常生活的方方面面,隨著手機(jī)上網(wǎng)日益普及,網(wǎng)上支付及理財(cái)更成為最熱門的手機(jī)應(yīng)用之一,互聯(lián)網(wǎng)安全領(lǐng)先廠商Check Point公司的專家指出,消費(fèi)者在享受網(wǎng)上支付及網(wǎng)上銀行的便利的同時(shí),也要提防其安全風(fēng)險(xiǎn)。

Check Point SandBlast Mobile 移動(dòng)安全研究員賀飛翔表示,當(dāng)下的銀行木馬攻擊具有高回報(bào)、低技術(shù)門檻的特點(diǎn)。在過(guò)去的三個(gè)季度里,Check Point的威脅情報(bào)發(fā)現(xiàn),全球范圍內(nèi)手機(jī)銀行木馬正在逐步染指移動(dòng)支付。

他指出,銀行木馬現(xiàn)在不再僅限于攻擊傳統(tǒng)的銀行手機(jī)客戶端。這類木馬開(kāi)始攻擊任何具有支付功能的手機(jī)軟件。例如網(wǎng)絡(luò)購(gòu)物、打車、酒店機(jī)票預(yù)訂等軟件。由于中國(guó)市場(chǎng)每天都在產(chǎn)生海量移動(dòng)支付交易,即使攻擊成功率較低,攻擊者依然可以獲得可觀收入。因此該領(lǐng)域?qū)W(wǎng)絡(luò)罪犯越發(fā)具有吸引力。

他表示:“值得注意的是,近年來(lái)黑色產(chǎn)業(yè)鏈呈現(xiàn)出職能細(xì)分的趨勢(shì)。銀行木馬使用及傳播者往往可以方便的從專業(yè)惡意軟件開(kāi)發(fā)人員手中買入病毒。無(wú)需掌握復(fù)雜的技術(shù)知識(shí),僅需簡(jiǎn)單的加工,使用者就可以開(kāi)始傳播、實(shí)施侵害。一方面,我們看到移動(dòng)支付廠商(諸如支付寶、微信支付)在不斷加強(qiáng)支付端口自身的安全;另一方面,我們認(rèn)為使用移動(dòng)支付端口的第三方軟件以及用戶本身是反銀行木馬努力中不可忽視的兩個(gè)較薄弱環(huán)節(jié)。”

賀飛翔也指出,移動(dòng)端的隱私問(wèn)題也需要關(guān)注,廣告商及軟件開(kāi)發(fā)商往往超范圍提取用戶關(guān)鍵個(gè)人信息。個(gè)人信息采集幾乎存在于所有日常手機(jī)應(yīng)用中, 而目前大多數(shù)亞洲國(guó)家沒(méi)有對(duì)廣告商收集個(gè)人信息的行為在法律層面提出詳細(xì)可操作的規(guī)定和指引。在某些情況下,廣告商移動(dòng)組件同時(shí)收集手機(jī)辨識(shí)碼IMEI、SIM卡序列號(hào)、手機(jī)號(hào)、手機(jī)當(dāng)前位置等敏感信息并不加處理直接上傳至服務(wù)器。這些數(shù)據(jù)加以適當(dāng)社工手段分分鐘可以把用戶手機(jī)變?yōu)殚g諜追蹤設(shè)備。

他表示:“這種粗獷的收集手段給了黑客更多可以非法獲取敏感數(shù)據(jù)的渠道。例如利用廣告組件自身漏洞來(lái)截取信息、利用服務(wù)器漏洞進(jìn)入后臺(tái)數(shù)據(jù)庫(kù)、或者和廣告商達(dá)成某種協(xié)議直接獲取數(shù)據(jù)。中國(guó)方面,政府近期開(kāi)始實(shí)施網(wǎng)絡(luò)論壇發(fā)帖回帖實(shí)名制。不可否認(rèn),這一舉措保證了網(wǎng)絡(luò)空間和諧的氛圍,有效遏制了不文明行為。但是這一規(guī)定使得以往一些較低價(jià)值目標(biāo)(比如知乎、微博等移動(dòng)端)對(duì)于黑客來(lái)說(shuō)變得更有攻擊價(jià)值。因?yàn)閷?shí)名認(rèn)證的需求,此類手機(jī)應(yīng)用及后臺(tái)服務(wù)器需要傳輸甚至存儲(chǔ)個(gè)人證件信息。”

根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心發(fā)表的最新一期《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》,截至2017年6月,中國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)7.24億,其中網(wǎng)上支付的比例提升至68%,而手機(jī)支付用戶規(guī)模增長(zhǎng)迅速,達(dá)到5.02億(69.4%)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)