基于安卓系统移动支付安全性研究

赵明洋



基于安卓系统移动支付安全性研究

赵明洋

中国南方航空河南航空有限公司，河南 郑州 450048

伴随着电子技术的快速发展，移动支付出现在人们的视野中，极大地方便了人们生活的同时也给人们的资金安全带来一定风险。从移动支付的安全需求说起，结合安卓系统平台，提出了移动支付应用中存在的主要问题，并且提出了几点安全策略。

移动支付；安卓系统；安全性

随着移动设备的普及，移动设备操作系统的发展，虚拟贸易的成熟，移动支付开始走进人们的生活。受经济利益驱使，越来越多的攻击者将移动支付作为主要攻击目标，这也导致了针对移动支付软件的假冒APP和恶意行为大量滋生，从而对用户的财产造成损失，产生的风险还可能对其他相关行业造成严重危害。因此，必须加强移动支付的安全研究[1]。

1 移动支付的安全需求

基于安卓系统移动支付通过WAP无线应用协议技术接入无线网络，由于其通用的操作平台，便捷的交互方式以及快速的使用方法，再配合多样化的业务发展，用户群体数量激增，但由此引发的安全问题也日益凸显。为了保证移动支付系统的安全稳定，一般要求达到以下几个安全指标：（1）信息的机密性，无线网络的开放性，使通信信息随时可能被非法用户截取，故要求通过加密方式，保证任何第三方无法从截取数据中获得有价值的信息。（2）数据的完整性，要求提供一定的方法，检测出信息是否遭到非法用户的篡改或破坏。（3）认证性，进行交易前，要求交易双方能相互鉴别身份的有效性和真实性，同时，在使用终端进行支付时，终端对用户身份合法性的验证也是必不可少的一个环节。（4）不可否认性，一般为了防止用户对支付信息的抵赖行为，要求实现不可否认性，以证明消费者确实发送了相关的数据。

2 移动支付应用安全问题

2.1 漏洞威胁

艾瑞调查显示，近六成智能手机用户表示在使用手机银行时最担心手机安全问题，而手机安全最大的威胁便是手机安全漏洞。利用智能手机操作系统自身漏洞，可以在不破坏APP数字签名的情况下，实现偷账号、窃隐私、打电话或发短信等任意行为。如2013年7月，Bluebox公司曝光的安卓系统签名漏洞，可以让第三方程序插件通过Remote Support得到存取权限，控制设备的屏幕和使用OEM发出授权证书。2015年8月，安全公司Check Point发现了安卓系统新漏洞Certifi-gate，手机一旦被不法分子控制，将面临手机支付功能被非法复制、客户资金流失的威胁[2]。

2.2 伪基站、钓鱼网站的威胁

不法分子利用与电信运营商的无线基站同频的伪基站，搜索附近的手机卡信息，然后伪装成运营商或冒充95588等银行号码发送广告或诈骗短信。诱骗中招者访问虚假网银，盗刷银行账户资金；或诱导受害者下载手机木马，达到盗刷支付账户的目的。伪基站使用的电信运营商或银行的官方号码，通常被手机安全软件列入白名单。号码管理软件不能识别和拦截其发送的短信，具有很强的迷惑性。手机用户若访问虚假网银或下载安装了手机木马，其支付账户安全将受到威胁。目前，手机客户端软件打开的网址还无法被手机安全软件捕获，二维码扫描工具也不具备识别恶意网址的能力。随着手机支付的发展，各大网络银行、淘宝、微信等钓鱼网站在网络中肆意传播，通过发送各种商品销售优惠信息、银行账号的电子密码器等更新信息链接到钓鱼网站，对手机支付账户造成威胁。

2.3 恶意程序的威胁

恶意程序的威胁主要包括病毒和木马。病毒能未经允许私自下载软件并安装，窃取银行账号及密码，盗走资金。如“洛克蠕虫”病毒，木马程序在手机后台运行，监视受害者短信，拦截银行、支付平台等发来的短信，然后将这些短信联网上传或转发到黑客手机中。黑客利用此木马配合受害者身份信息重置支付账户，盗取资金。根据360安全中心的调查，安卓的木马传播者将病毒直接嵌入水货新机系统固件，普通用户无法删除。木马安装后，自动出现在被嵌手机中，并在锁屏或深夜时发来短信定制SP业务，消耗用户费用。

2.4 信息泄露

移动电话等信息被截获，容易导致信息泄露，威胁着移动支付安全。网上有售卖窃听装置的，这种装置可以在任何地方拦截移动电话，能同时监控20个电话号码，并显示手机的短信和来电显示内容。手机上的所有信息存储在手机的内存芯片中，人们处置更换下来的手机时，通常选择卖给旧货市场，但往往只是取出SIM卡和存储卡，不删除手机内存储的信息，这就很容易泄露个人隐私。

3 移动支付安全策略

3.1 数字签名协议

数字签名技术是移动支付中常应用的一项最主要的安全技术，交易双方对自己出示的信息进行数字签名，实现信息的可鉴别性和不可抵赖性。使用数字签名技术后，接收者可确认其所接收信息的完整性，确定其是否遭受他人恶意破坏。另外，在将来的纠纷事件中，数字签名可作为原始证据来使用[3]。

3.2 数字信封技术

数字信封技术是一种融合对称加密和非对称加密优点的一种安全技术，它有效解决了密钥传送过程中的安全问题。

第一步：随机产生对称密钥，发送方利用该密钥对所要发送的信息加密。

第二步：采用信封封装的方式对公钥加密上述对称密钥。

第三步：将第一步和和第二步的加密信息发送给接收方。

第四步：接收方收到信息后，用私钥解密数字信封，获得随机对称密钥。

第五步：接收方用此对称密钥对接收到的消息进行解密，获得信息原文。

3.3 完善法律法规

当前，很多国家的移动支付产业走入成熟期，相关的法律法规作为产业发展的重要支持，而我国的移动支付产业仍处于初级阶段，问题重重，没有相关的法律法规保障，该产业仍处于不冷不热状态。随着移动支付产业优势逐渐明显，运营商之间的竞争逐渐激烈，采用合作方式实现资源共享、优势互补是可行的，这个时候，电子支付牌照的发放显得尤为重要。政府相关部门应规范和整顿移动支付的市场秩序，形成有利于运营商、银行、第三方支付公司合作的商业模式，在产业链协调、信用制度、法律法规等方面解决问题，转变人们的传统支付观念，促进移动支付的可持续发展。

3.4 树立移动支付安全意识

对移动支付涉及的账户信息、电子邮箱、支付密码、手机短信、验证码等信息要妥善保管，提高保密性。对移动支付流程中各个环节所产生的信息要有足够的警觉性，确保信息的真实、完整和不可抵赖等。手机号码变更后，涉及移动支付绑定的相关手机号码要及时更换。

4 结论

移动支付作为21世纪的新兴支付方式，已在广大人民群众中掀起一股热潮，智能手机的安全需要联合运营商、设备提供商、安全软件提供商和手机用户等多层面的力量来构建。我国要想促进社会经济发展，必须推动电子商务发展，政府积极主动地为移动支付产业的发展清除障碍，为其营造健康的发展环境。

[1]潘爱民.基于安卓的移动支付系统的设计探讨[J].通信世界，2015（19）：208.

[2]梁春雷.基于安卓平台移动支付的应用和安全研究[J].电子世界，2014（13）：18.

[3]王长杰，王卫华.移动支付交易中存在的安全风险及对策研究[J].鸡西大学学报，2015（10）：52-54.

Based on the Android Mobile Payment Security Research

Zhao Mingyang

China Southern Airlines Henan Airlines Co., Ltd., Henan, Henan Zhengzhou 450048

along with the rapid development of electronic technology, mobile payment appear in people’s horizons, greatly convenient people’s life and also bring some risk people capital is safe.Speak of from the security requirements of mobile payment, this paper combined with the android platform, puts forward the main problems existing in the mobile payment application, and puts forward some security policy.

mobile payment;the android system;security

TP393.08

A

1009-6434（2016）08-0059-02