压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Safe Zygote – 為移動(dòng)支付安全護(hù)航

尊敬的各位領(lǐng)導(dǎo)各位前輩各位同仁各位嘉賓大家好，就目前這個(gè)移動(dòng)支付安全做一些探討，其實(shí)在以前我們知道，我們?nèi)ャy行轉(zhuǎn)帳，我們?nèi)ガF(xiàn)場(chǎng)，后來又了網(wǎng)銀在網(wǎng)上在電腦上又也可以做這個(gè)操作，現(xiàn)在有移動(dòng)互聯(lián)網(wǎng)可以在任何時(shí)候做你的事情，比如上班的時(shí)候還一下信用卡，你可以在機(jī)場(chǎng)的路上，出租車上支付車費(fèi)，也可以用支付寶像機(jī)票的購(gòu)買都可以，但是因?yàn)檫@個(gè)會(huì)要求一些開放性，他需要你去提供一下你個(gè)人的信息，還有你自己的授權(quán)，這樣就帶來開放性這種開放性會(huì)導(dǎo)致很多的安全的問題，我們下面就當(dāng)前移動(dòng)支付所面臨的危險(xiǎn)做一個(gè)探討，還有就是手機(jī)他有ROOT或者不ROOT都會(huì)面臨一些問題，還有就是Safe? Zygote安全入口方案，還有下一代支付危險(xiǎn)的解決的方案。

當(dāng)前移動(dòng)支付面臨很多的危險(xiǎn)，我們看到的就是比如像支付寶大盜，專門支付寶騙取用戶的身份信息，還有吸金幽靈，他會(huì)專門用于竊取用戶的金融類帳戶信息，還有，還有微信支付大盜，還有我們的病毒偽裝與山寨。據(jù)每油品，委聘會(huì)、淘寶特賣等等的就是會(huì)進(jìn)行吸費(fèi)，第一是支付寶大盜，他是二次打包的正常的應(yīng)用，你看起來是支付寶，其實(shí)他不是，他有可能就是像普通的利用一些系統(tǒng)的漏洞做的二次的打包，他運(yùn)行的時(shí)候把你的手機(jī)的號(hào)碼短信上傳走，做他們后臺(tái)的分析研究，決定下一個(gè)就是對(duì)你操作。還有就是支付類所有的交易，改密碼的短信，全部屏蔽，如果他拿到你的信息改你的密碼你完全的不知道。

拿他可以通過遠(yuǎn)程的電話或者釣魚的頁(yè)面，就是填入用戶名和密碼，他可以通過你的信息修改你的支付寶的密碼，他也是通過密碼找回的方式，最后就是轉(zhuǎn)帳就OK了，銀行悍匪他是強(qiáng)迫用戶擊破設(shè)備管理器，正常的辦法不會(huì)卸載的，他會(huì)監(jiān)控你有沒有一些支付類的應(yīng)用，如果他發(fā)現(xiàn)了之后，他會(huì)向辦法關(guān)閉這個(gè)程序，用釣魚的頁(yè)面替代，你直觀上沒有感覺的，就是兩個(gè)界面切換的過程，他會(huì)獲得你用戶的信息，你自己用以輸入這個(gè)的話，他會(huì)上升到遠(yuǎn)程的服務(wù)器，他再開啟原來正常銀行的程序，讓你覺得輸錯(cuò)了，其實(shí)你的密碼被盜走了。

微信支付大盜，他涉及很多新的技術(shù)，這個(gè)相對(duì)難度低一些，他就是攔截用戶銀行的短信，尤其是像你的有一些支付類的，或者你的支付的密碼，或者是你的一些銀行的帳戶數(shù)額的變動(dòng)，他就把這些短信全部的攔截掉，另外就是他跟之前的那個(gè)就是一樣就是激發(fā)你的管理器，還有一個(gè)高防的界面，…

問題總結(jié)，偽裝過的手機(jī)病毒，還有正常應(yīng)用重新打包，代碼注入，還有動(dòng)態(tài)跟蹤。他會(huì)在你的正常的應(yīng)用里面注入自己想要注入的代碼，還有動(dòng)態(tài)的跟蹤你的內(nèi)存在他的監(jiān)控的范圍內(nèi)，不ROOT也不是一個(gè)很安全的事，因?yàn)樗且粋€(gè)很開放的系統(tǒng)，像我自己編了無數(shù)次的A（英文）的系統(tǒng)，他的實(shí)現(xiàn)往往就有一些，剛才老總講過，就是比較年輕的人，寫一些代碼可能有一些問題，這也是不可避免的，當(dāng)你審計(jì)源代碼的時(shí)候就是可以利用的地方，去年比較出名的就是（英文）的漏洞。…這樣可以導(dǎo)致在安裝的時(shí)候，你看起來像正常的應(yīng)用，其實(shí)是拿正常的應(yīng)用加了一個(gè)惡意的代碼，你安裝的是正常的應(yīng)用，但是你使用的是惡意的，另外一個(gè)漏洞是今年8月份，也是美國(guó)的一個(gè)公司，這個(gè)漏洞其實(shí)就是說，還有領(lǐng)導(dǎo)講認(rèn)證這個(gè)事，認(rèn)證碼也是和他相關(guān)的，（英文）他是做的自簽名的，他不關(guān)心你的驗(yàn)證的過程，你可以用自簽名或者用認(rèn)證過的簽名，但是（英文），你想做什么都是自己的選擇，你可以做技術(shù)應(yīng)用類的簽名。

關(guān)于漏洞這個(gè)看起來不是特別的理解這個(gè)東西，因?yàn)榭赡芎苌畹募夹g(shù)的細(xì)節(jié)，漏洞這個(gè)是很嚴(yán)重的問題，現(xiàn)在很多人搞一些攻擊，像智能的家居，智能的汽車特斯拉用一些比較特殊的系統(tǒng)，如果（英文）用在汽車上的的話，那就很麻煩了，你第二天起來看到你的寶馬等等離家出走了。有一些研究他可以去在應(yīng)用運(yùn)行的時(shí)候去檢查你的系統(tǒng)能不能運(yùn)行一些他想攻擊的支付類的應(yīng)用，有一些研究很有意思，他可以不需要你系統(tǒng)任何的信息，只要你安裝應(yīng)用，他可以根據(jù)你內(nèi)存使用的變化的情況判斷。他的命中率不是特別高，但是命中的話很危險(xiǎn)。就是你的應(yīng)用是自己使用的，不需要?jiǎng)e人來應(yīng)用。

還有就是像一些明文的信息的儲(chǔ)存，這個(gè)東西說白了，大家覺得不會(huì)有那么明顯的攻擊，大家都這么想，其實(shí)結(jié)果不是這樣的，結(jié)果有很多的東西都是明文的儲(chǔ)存，有一些可能是一些失誤，有一些是沒有根據(jù)那個(gè)安全的實(shí)現(xiàn)，沒有根據(jù)標(biāo)準(zhǔn)的規(guī)范做的，有的測(cè)試不夠詳盡的。他對(duì)各個(gè)銀行做了一個(gè)審計(jì)，這是2012年的事情，他發(fā)現(xiàn)像明文儲(chǔ)存的問題，有一個(gè)很典型的事情，有一個(gè)銀行他在發(fā)布應(yīng)用的時(shí)候，由于開發(fā)人員的疏忽就是發(fā)了一個(gè)測(cè)試版的應(yīng)用，他就是應(yīng)用的時(shí)候會(huì)打到一個(gè)日志里面，這個(gè)日志會(huì)被其他的應(yīng)用所讀取，這是很危險(xiǎn)的問題。

ROOT就是代表你這個(gè)應(yīng)用有很多的權(quán)限操作其他的進(jìn)程，比如有一個(gè)例子，像瀏覽器，就是谷歌他可以在你的應(yīng)用中做任何的事情，做程序調(diào)用，就是釣魚連的短接。

HOOK，…就是你根本沒有印象做這個(gè)工程分析，你不知道，他會(huì)在你的運(yùn)行的時(shí)候應(yīng)用的流程劫持掉了，還有一些黑客的軟件供那些黑客使用。下面有一些研究的人員做一些研究，可以幫助你做一些很HOOK的這個(gè)工作，HOOK就是在背地里做一些你想不到的事情，這個(gè)是XPOSED—HOOK，他就是平臺(tái)最流行的開源HOOK框架。還有就是替換這個(gè)APP，還有就是添加和刪除HOOK需要充氣ZYGOTO。

運(yùn)行時(shí)的風(fēng)險(xiǎn)，一個(gè)正常應(yīng)用運(yùn)行的時(shí)候，就是用手機(jī)點(diǎn)這個(gè)圖表，就是通過起動(dòng)器，像系統(tǒng)（英文）向他請(qǐng)求，就是麻煩你想十組進(jìn)程，麻煩你告訴（英文）一生把你自己復(fù)制一下然后運(yùn)行我自己的代碼，因?yàn)椋ㄓ⑽模┑陌踩詻]有人能夠保證，如果說已經(jīng)被劫持了，所以這是一個(gè)很嚴(yán)重的問題，后邊可以看清楚，就是ZYGOTO已經(jīng)被劫持了，就是在你看不見的情況下都劫持了。

這是運(yùn)行時(shí)風(fēng)險(xiǎn)實(shí)例，本來我應(yīng)該拿一個(gè)銀行的案例，所以我拿FACE做例子。

如何在不可信的環(huán)境里面創(chuàng)造一個(gè)可信的環(huán)境，我們?nèi)绾伪Ｗo(hù)我們所創(chuàng)建的運(yùn)行的環(huán)境，在讓正常的應(yīng)用同可信的環(huán)境里面去運(yùn)行，這是我們想要做的事情。手在點(diǎn)圖表的時(shí)候還是一樣的，系統(tǒng)沒有變，也會(huì)請(qǐng)求，但是在請(qǐng)求之前，他會(huì)問你要不要Safe? Zygote啟動(dòng)，如果你想就用，他就是安全，如果你不用的話就是正常的系統(tǒng)的流程，如果你用Safe? Zygote啟動(dòng)的時(shí)候，他啟動(dòng)不是系統(tǒng)的那個(gè)啟動(dòng)的，我們是由自己編譯的啟動(dòng)的，這個(gè)Safe? Zygote資深帶很多注入的措施，你再啟動(dòng)的時(shí)候就不會(huì)存在任何的惡意的代碼，這個(gè)是一個(gè)安全的問題，你進(jìn)來就是安全了，運(yùn)行的時(shí)候你這個(gè)安全的進(jìn)程在防護(hù)，所以不會(huì)有任何的安全的問題。

這是方案的演示，其實(shí)拿的也是銀行的例子，但是運(yùn)行的時(shí)候很利于檢測(cè)的。

4+1，就是我們提供了四個(gè)加強(qiáng)的方案，就是應(yīng)付我們支付寶大盜之類的問題，還有一個(gè)就是反惡意，還有反篡改，還有就是反調(diào)試，還有就是反注入這幾個(gè)問題。反注入就是反對(duì)你對(duì)其他的進(jìn)程，做一些注入的工作，還有反調(diào)試，就是沒有辦法偷取我系統(tǒng)進(jìn)程里面的任何的信息，反惡意就是百度的搜索引擎，這個(gè)惡意的軟件識(shí)別的系統(tǒng)，他其實(shí)很多的技術(shù)在里面，那他跟支付安全相關(guān)的就是有還有漏洞的掃描病毒的掃描，…現(xiàn)在有一些應(yīng)用減固的提供商，這個(gè)提供商會(huì)對(duì)你的應(yīng)用進(jìn)行加固。他幫你進(jìn)行加固就是反調(diào)，由于這個(gè)東西加固以后對(duì)安全的軟件來講，也是一個(gè)挑戰(zhàn)，你不對(duì)他進(jìn)行減固…。

反篡改，篡改就是可以重新的打包分發(fā)。這個(gè)風(fēng)險(xiǎn)很高，他在任意的位置增加惡意的代碼，就是你有相應(yīng)的權(quán)限，比如你的應(yīng)用是很流行重要系統(tǒng)的應(yīng)用，他有很多的權(quán)限，他有辦法的，如果他對(duì)你的應(yīng)用重新打包之后，他可以隨時(shí)隨地的發(fā)扣費(fèi)的短信，偷偷的打越洋的電話。

還有正版驗(yàn)證和檢測(cè)盜版，應(yīng)用加固，我們自己提供的應(yīng)用加固和其他的應(yīng)用加固商是一樣的，就是針對(duì)銀行特別安全的訴求。一些盜版的檢測(cè)，我們上面有一個(gè)圖關(guān)于這個(gè)的，我們會(huì)對(duì)自己的產(chǎn)品做盜版的檢測(cè)，監(jiān)控所有的渠道，看哪一些渠道有我們的盜版的品牌圖表，還有我們盜版我們的代碼，這是我們簡(jiǎn)單的報(bào)告。其實(shí)我們有一個(gè)監(jiān)控很多的，像我們自己客戶的應(yīng)用。

反調(diào)試，這個(gè)是向開發(fā)人員用這個(gè)功能，因?yàn)樗胫溃徊揭徊竭\(yùn)營(yíng)下來，每一步運(yùn)營(yíng)出現(xiàn)問題知道問題發(fā)生在哪里，調(diào)試是開發(fā)人員必須的工具，但是像惡意的這種應(yīng)用也可以用調(diào)試，調(diào)試的辦法，或者黑客也可以用調(diào)試調(diào)試你的應(yīng)用，他可以在任何的時(shí)候獲取你快存的內(nèi)容，就是你輸入密碼之后，他都可以找出來你的密碼，這個(gè)風(fēng)險(xiǎn)也是非常的高，為了阻止你的運(yùn)行的狀態(tài)被窺探你必須做調(diào)試的工作，你這個(gè)工作要越快越好，而且要必須時(shí)刻的做。不然的話，在A（英文）里面防止人家調(diào)試你的程序是很難的。

反調(diào)試就是功能開始之前之后的對(duì)比，差別就是開啟之前就是向應(yīng)用開發(fā)者調(diào)試的，開啟之后你不能掛接的這個(gè)，他有自己的協(xié)議，這個(gè)時(shí)候協(xié)議被關(guān)閉了，甚至可以直接的關(guān)閉底層的這種調(diào)試。

反注入，其實(shí)應(yīng)用程序本身的應(yīng)用環(huán)境必須是安全的，注入的時(shí)候他會(huì)在應(yīng)用的程序里面插入一些其他的代碼，你這個(gè)代碼不知道，而且你也沒有特別的提示就是告訴你，你的某一段內(nèi)存有一些惡意的代碼，他的風(fēng)險(xiǎn)也是這樣的，你的應(yīng)用程序運(yùn)行任何的數(shù)據(jù)和流程，像倪志福的時(shí)候，你從這個(gè)界面挑到這個(gè)界面就完成了，你注入之后，你的流程會(huì)被劫持，你的從這個(gè)界面跳到這個(gè)釣魚的界面…。

要掃描一些應(yīng)用進(jìn)程中注入的模塊，你要保證里的應(yīng)用進(jìn)程中是系統(tǒng)的模塊。另外有要清除，這是一個(gè)例子，就是微信大盜，他和注入相關(guān)，一個(gè)惡意的應(yīng)用在運(yùn)行的時(shí)候，會(huì)注入微信的進(jìn)程和QQ的進(jìn)程里面，他會(huì)去注入惡意的代碼，然后破戒一些關(guān)鍵的IPI然后你所有的注入日志都會(huì)被竊走的，這個(gè)是很危險(xiǎn)的，有的人在微信QQ上隱私的東西很多，這是支付類的信息，這個(gè)很危險(xiǎn)。

一個(gè)小的總結(jié)，4+1，一個(gè)是從你的程序的出生開始，到應(yīng)用運(yùn)行的這個(gè)過程中一直提供防護(hù)，防護(hù)你系統(tǒng)的惡意的軟件，防止你被調(diào)試注入。

這是我們自己產(chǎn)品做的例子，大家可以看到，這個(gè)例子就是我們系統(tǒng)已經(jīng)有了注入的東西可以注入的，這里面所有應(yīng)用啟動(dòng)的，你是什么軟件，不管你做什么東西，都會(huì)得到這個(gè)模塊，這個(gè)模塊我們?cè)趩?dòng)（英文）中會(huì)檢測(cè)到。我們也針對(duì)自己的一些特點(diǎn)，他們自己想要的數(shù)據(jù)做了一些優(yōu)化，像注入調(diào)試和篡改方面的。

這就是我想要分享的謝謝大家！