压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Safe Zygote – 為移動支付安全護航

尊敬的各位領導各位前輩各位同仁各位嘉賓大家好，就目前這個移動支付安全做一些探討，其實在以前我們知道，我們去銀行轉帳，我們去現(xiàn)場，后來又了網(wǎng)銀在網(wǎng)上在電腦上又也可以做這個操作，現(xiàn)在有移動互聯(lián)網(wǎng)可以在任何時候做你的事情，比如上班的時候還一下信用卡，你可以在機場的路上，出租車上支付車費，也可以用支付寶像機票的購買都可以，但是因為這個會要求一些開放性，他需要你去提供一下你個人的信息，還有你自己的授權，這樣就帶來開放性這種開放性會導致很多的安全的問題，我們下面就當前移動支付所面臨的危險做一個探討，還有就是手機他有ROOT或者不ROOT都會面臨一些問題，還有就是Safe? Zygote安全入口方案，還有下一代支付危險的解決的方案。

當前移動支付面臨很多的危險，我們看到的就是比如像支付寶大盜，專門支付寶騙取用戶的身份信息，還有吸金幽靈，他會專門用于竊取用戶的金融類帳戶信息，還有，還有微信支付大盜，還有我們的病毒偽裝與山寨。據(jù)每油品，委聘會、淘寶特賣等等的就是會進行吸費，第一是支付寶大盜，他是二次打包的正常的應用，你看起來是支付寶，其實他不是，他有可能就是像普通的利用一些系統(tǒng)的漏洞做的二次的打包，他運行的時候把你的手機的號碼短信上傳走，做他們后臺的分析研究，決定下一個就是對你操作。還有就是支付類所有的交易，改密碼的短信，全部屏蔽，如果他拿到你的信息改你的密碼你完全的不知道。

拿他可以通過遠程的電話或者釣魚的頁面，就是填入用戶名和密碼，他可以通過你的信息修改你的支付寶的密碼，他也是通過密碼找回的方式，最后就是轉帳就OK了，銀行悍匪他是強迫用戶擊破設備管理器，正常的辦法不會卸載的，他會監(jiān)控你有沒有一些支付類的應用，如果他發(fā)現(xiàn)了之后，他會向辦法關閉這個程序，用釣魚的頁面替代，你直觀上沒有感覺的，就是兩個界面切換的過程，他會獲得你用戶的信息，你自己用以輸入這個的話，他會上升到遠程的服務器，他再開啟原來正常銀行的程序，讓你覺得輸錯了，其實你的密碼被盜走了。

微信支付大盜，他涉及很多新的技術，這個相對難度低一些，他就是攔截用戶銀行的短信，尤其是像你的有一些支付類的，或者你的支付的密碼，或者是你的一些銀行的帳戶數(shù)額的變動，他就把這些短信全部的攔截掉，另外就是他跟之前的那個就是一樣就是激發(fā)你的管理器，還有一個高防的界面，…

問題總結，偽裝過的手機病毒，還有正常應用重新打包，代碼注入，還有動態(tài)跟蹤。他會在你的正常的應用里面注入自己想要注入的代碼，還有動態(tài)的跟蹤你的內存在他的監(jiān)控的范圍內，不ROOT也不是一個很安全的事，因為他是一個很開放的系統(tǒng)，像我自己編了無數(shù)次的A（英文）的系統(tǒng)，他的實現(xiàn)往往就有一些，剛才老總講過，就是比較年輕的人，寫一些代碼可能有一些問題，這也是不可避免的，當你審計源代碼的時候就是可以利用的地方，去年比較出名的就是（英文）的漏洞。…這樣可以導致在安裝的時候，你看起來像正常的應用，其實是拿正常的應用加了一個惡意的代碼，你安裝的是正常的應用，但是你使用的是惡意的，另外一個漏洞是今年8月份，也是美國的一個公司，這個漏洞其實就是說，還有領導講認證這個事，認證碼也是和他相關的，（英文）他是做的自簽名的，他不關心你的驗證的過程，你可以用自簽名或者用認證過的簽名，但是（英文），你想做什么都是自己的選擇，你可以做技術應用類的簽名。

關于漏洞這個看起來不是特別的理解這個東西，因為可能很深的技術的細節(jié)，漏洞這個是很嚴重的問題，現(xiàn)在很多人搞一些攻擊，像智能的家居，智能的汽車特斯拉用一些比較特殊的系統(tǒng)，如果（英文）用在汽車上的的話，那就很麻煩了，你第二天起來看到你的寶馬等等離家出走了。有一些研究他可以去在應用運行的時候去檢查你的系統(tǒng)能不能運行一些他想攻擊的支付類的應用，有一些研究很有意思，他可以不需要你系統(tǒng)任何的信息，只要你安裝應用，他可以根據(jù)你內存使用的變化的情況判斷。他的命中率不是特別高，但是命中的話很危險。就是你的應用是自己使用的，不需要別人來應用。

還有就是像一些明文的信息的儲存，這個東西說白了，大家覺得不會有那么明顯的攻擊，大家都這么想，其實結果不是這樣的，結果有很多的東西都是明文的儲存，有一些可能是一些失誤，有一些是沒有根據(jù)那個安全的實現(xiàn)，沒有根據(jù)標準的規(guī)范做的，有的測試不夠詳盡的。他對各個銀行做了一個審計，這是2012年的事情，他發(fā)現(xiàn)像明文儲存的問題，有一個很典型的事情，有一個銀行他在發(fā)布應用的時候，由于開發(fā)人員的疏忽就是發(fā)了一個測試版的應用，他就是應用的時候會打到一個日志里面，這個日志會被其他的應用所讀取，這是很危險的問題。

ROOT就是代表你這個應用有很多的權限操作其他的進程，比如有一個例子，像瀏覽器，就是谷歌他可以在你的應用中做任何的事情，做程序調用，就是釣魚連的短接。

HOOK，…就是你根本沒有印象做這個工程分析，你不知道，他會在你的運行的時候應用的流程劫持掉了，還有一些黑客的軟件供那些黑客使用。下面有一些研究的人員做一些研究，可以幫助你做一些很HOOK的這個工作，HOOK就是在背地里做一些你想不到的事情，這個是XPOSED—HOOK，他就是平臺最流行的開源HOOK框架。還有就是替換這個APP，還有就是添加和刪除HOOK需要充氣ZYGOTO。

運行時的風險，一個正常應用運行的時候，就是用手機點這個圖表，就是通過起動器，像系統(tǒng)（英文）向他請求，就是麻煩你想十組進程，麻煩你告訴（英文）一生把你自己復制一下然后運行我自己的代碼，因為（英文）的安全性沒有人能夠保證，如果說已經(jīng)被劫持了，所以這是一個很嚴重的問題，后邊可以看清楚，就是ZYGOTO已經(jīng)被劫持了，就是在你看不見的情況下都劫持了。

這是運行時風險實例，本來我應該拿一個銀行的案例，所以我拿FACE做例子。

如何在不可信的環(huán)境里面創(chuàng)造一個可信的環(huán)境，我們如何保護我們所創(chuàng)建的運行的環(huán)境，在讓正常的應用同可信的環(huán)境里面去運行，這是我們想要做的事情。手在點圖表的時候還是一樣的，系統(tǒng)沒有變，也會請求，但是在請求之前，他會問你要不要Safe? Zygote啟動，如果你想就用，他就是安全，如果你不用的話就是正常的系統(tǒng)的流程，如果你用Safe? Zygote啟動的時候，他啟動不是系統(tǒng)的那個啟動的，我們是由自己編譯的啟動的，這個Safe? Zygote資深帶很多注入的措施，你再啟動的時候就不會存在任何的惡意的代碼，這個是一個安全的問題，你進來就是安全了，運行的時候你這個安全的進程在防護，所以不會有任何的安全的問題。

這是方案的演示，其實拿的也是銀行的例子，但是運行的時候很利于檢測的。

4+1，就是我們提供了四個加強的方案，就是應付我們支付寶大盜之類的問題，還有一個就是反惡意，還有反篡改，還有就是反調試，還有就是反注入這幾個問題。反注入就是反對你對其他的進程，做一些注入的工作，還有反調試，就是沒有辦法偷取我系統(tǒng)進程里面的任何的信息，反惡意就是百度的搜索引擎，這個惡意的軟件識別的系統(tǒng)，他其實很多的技術在里面，那他跟支付安全相關的就是有還有漏洞的掃描病毒的掃描，…現(xiàn)在有一些應用減固的提供商，這個提供商會對你的應用進行加固。他幫你進行加固就是反調，由于這個東西加固以后對安全的軟件來講，也是一個挑戰(zhàn)，你不對他進行減固…。

反篡改，篡改就是可以重新的打包分發(fā)。這個風險很高，他在任意的位置增加惡意的代碼，就是你有相應的權限，比如你的應用是很流行重要系統(tǒng)的應用，他有很多的權限，他有辦法的，如果他對你的應用重新打包之后，他可以隨時隨地的發(fā)扣費的短信，偷偷的打越洋的電話。

還有正版驗證和檢測盜版，應用加固，我們自己提供的應用加固和其他的應用加固商是一樣的，就是針對銀行特別安全的訴求。一些盜版的檢測，我們上面有一個圖關于這個的，我們會對自己的產(chǎn)品做盜版的檢測，監(jiān)控所有的渠道，看哪一些渠道有我們的盜版的品牌圖表，還有我們盜版我們的代碼，這是我們簡單的報告。其實我們有一個監(jiān)控很多的，像我們自己客戶的應用。

反調試，這個是向開發(fā)人員用這個功能，因為他想知道，一步一步運營下來，每一步運營出現(xiàn)問題知道問題發(fā)生在哪里，調試是開發(fā)人員必須的工具，但是像惡意的這種應用也可以用調試，調試的辦法，或者黑客也可以用調試調試你的應用，他可以在任何的時候獲取你快存的內容，就是你輸入密碼之后，他都可以找出來你的密碼，這個風險也是非常的高，為了阻止你的運行的狀態(tài)被窺探你必須做調試的工作，你這個工作要越快越好，而且要必須時刻的做。不然的話，在A（英文）里面防止人家調試你的程序是很難的。

反調試就是功能開始之前之后的對比，差別就是開啟之前就是向應用開發(fā)者調試的，開啟之后你不能掛接的這個，他有自己的協(xié)議，這個時候協(xié)議被關閉了，甚至可以直接的關閉底層的這種調試。

反注入，其實應用程序本身的應用環(huán)境必須是安全的，注入的時候他會在應用的程序里面插入一些其他的代碼，你這個代碼不知道，而且你也沒有特別的提示就是告訴你，你的某一段內存有一些惡意的代碼，他的風險也是這樣的，你的應用程序運行任何的數(shù)據(jù)和流程，像倪志福的時候，你從這個界面挑到這個界面就完成了，你注入之后，你的流程會被劫持，你的從這個界面跳到這個釣魚的界面…。

要掃描一些應用進程中注入的模塊，你要保證里的應用進程中是系統(tǒng)的模塊。另外有要清除，這是一個例子，就是微信大盜，他和注入相關，一個惡意的應用在運行的時候，會注入微信的進程和QQ的進程里面，他會去注入惡意的代碼，然后破戒一些關鍵的IPI然后你所有的注入日志都會被竊走的，這個是很危險的，有的人在微信QQ上隱私的東西很多，這是支付類的信息，這個很危險。

一個小的總結，4+1，一個是從你的程序的出生開始，到應用運行的這個過程中一直提供防護，防護你系統(tǒng)的惡意的軟件，防止你被調試注入。

這是我們自己產(chǎn)品做的例子，大家可以看到，這個例子就是我們系統(tǒng)已經(jīng)有了注入的東西可以注入的，這里面所有應用啟動的，你是什么軟件，不管你做什么東西，都會得到這個模塊，這個模塊我們在啟動（英文）中會檢測到。我們也針對自己的一些特點，他們自己想要的數(shù)據(jù)做了一些優(yōu)化，像注入調試和篡改方面的。

這就是我想要分享的謝謝大家！