移动理财APP打造银行级安全保障
来源：证券日报?中国资本证
&&&&本网讯 两年前，在线货币基金的问世改变了数百万大众现金管理的方式，中国的资产管理行业出现了爆发式增长。货币基金的之所以能被大众接受，除了收益率相比银行存款具备优势外，风险较低、资金安全是不可忽视原因。如今，这一模式正在被简理财等移动互联网金融平台效仿，其风控体系不输银行存款和货币市场基金。&&&&在资管业内人士看来，货币基金是最容易理解、风险最低的产品，如果深入到长尾市场，产品也会从低风险走到多元化风险，将对专业度提出更高要求。&如何在长尾市场生存下去，最核心的就是做好风险管理工作。&简理财负责风险控制的相关人士表示，互联网金融的本质是金融产品，而风险管理是做好产品的核心。&&&&所谓风险，不仅包括收益率波动和资金安全，还包含流动性风险、运营风险、道德风险、操作风险等多维度风险。尤其是目前产品的活期化倾向明显，流动性风险关注度和重视度不足。而仅仅做好产品风险管理也是不够的，还要做好销售风险管理和客户风险管理。资金的安全对于理财用户来说，是一个永恒的话题。简理财的资金安全保障来自与同各类金融机构的通力合作，这其中包括民生支付、招商银行、阳光财险、阿里云等业内顶级机构。其中，招商银行监管安全保证金，初始安全保证金500万，由招商银行进行账户监管，其安全保证金会不断累加，实时公布，对用户的投资本息提供充足保障。&&&&据悉，简理财并不直接接触投资资金，而是由民生支付做第三方资金托管。同时，简理财还引入了阳光财险为资金承保，相当于为用户的资产买了一份保险。在投资交易层面，简理财与阿里金融云合作，采用国内顶级的数据备份系统，以及加密存储措施，保障用户的投资交易信息和数据绝对安全。&&&&（戴华琪）
已有&0&条评论
追热点，做波段，小胜变大胜稳定的收益，最小的回撤以投资逻辑为导向，寻找趋势拐点在规避大盘系统性风险的前提下，精选热点板块和个股进行中短线波段操作，将利润最大化。顺应大盘走势，精选个股，最求利润最大化。（本组合是实验性质，暂不出售，希望不要够买！）热点跟踪，选择板块强势个股，短线操作一般盈利预期5%---10%
短线风格精选有投资潜力的阶段性牛股！趋势布局，一击即中，盘中把握实时机会，给你最好的趋势操盘，稳健中实现收益最大化！买进后也许不涨，也许有调整，但此刻一定需要有耐心和信心，趋势走坏会立刻调仓，跟上节奏，一切莫怕！技术夯实金融APP安全百度移 动安全助力中国工商银行|安全|工商银行|技术_新浪新闻
　　理财、订机票、汇款、买电影票、购物甚至无卡取现&&在银行的APP里都能实现。伴随着消费全面迈入移 动支付时代，手机成为“第二钱包”，虽然很方便，但一方面很多用户对移 动金融不熟悉，另一方面移 动金融存在风险安全问题。如何保障金融APP的使用安全，是摆在各大银行面前的一大难题。近期，百度移 动安全宣布和中国工商银行展开深度合作，为中国工商银行Android客户端以及旗下10余款APP提供安全加固技术及服务。
　　排除安全隐患助力金融产业升级
　　传统的金融机构意识到互联网变革所带来的影响，并且加快对金融模式的改变及对移 动市场的布局。随着银行移 动客户端的功能优化，操作便利，用户活跃量日益增长，银行APP安全成为这背后更大的危机。
　　国外调查机构在近期发布过一项报告，称亚太地区安卓系统中100家手机银行里，70%都存在安全问题，容易出现数据泄露情况。触目惊心的是，调查显示这些手机银行APP大多数都没起到安全防卫作用，许多甚至都没有最基本的安全核查。如果只是在受到恶意威胁以及操作出现矛盾时才会去重视这些安全问题的话，那便为时已晚。
　　根据中国互联网信息中心(CNNIC)发布数据，截至2015年6月，移 动支付用户规模达到2.76亿。百度移 动安全数据也显示，27%的用户支付环境存在风险。当然，各家银行对安全问题的重视程度并不相同，在过去几年中，因为新的安全问题频发，以中国工商银行为代表的大多数银行都采用了动态口令、一次性密码、向安卓手机发送交易确认短信之类的安全措施，不过安全专家也指出，许多网络罪犯也找到了新手段来绕开这些措施。
　　此次，百度移 动安全利用安全加固技术保障了工商银行APP的安全问题，就是做到提前排除安全隐患。在移 动互联网发展中，金融行业发展的最根本问题之一就是安全问题，转型过程中解决安全问题无疑会帮助金融产业在发展中加速升级。
　　“软猬甲”受益用户与行业
　　“无卡日”已经成为一种时尚，但是在逐渐步入移 动生活的过程中，用户的个人隐私和财产安全的问题是全社会以及整个互联网行业所关注的重点问题之一。如何为用户带来安全的服务是金融产业转型中所面临的考验和思考。
　　在金融类吸费病毒中，百度手机卫士曾发现的“银行悍匪”病毒模拟了20多家银行的界面以及支付宝的界面，通过用户输入手机号、身份证号、银行账号、密码等信息，利用这些信息盗取用户的银行资金。
　　对于此次合作，百度移 动安全为工商银行全面提供应用加固技术，该技术涵盖了反恶意、反调试、反注入、反篡改四个技术层面，包括检测手机环境是否安全可靠、禁止应用被调试器调试运行、检测自身是否已经被篡改或者重新打包、禁止其他应用的代码注入体内。该技术可以对任意应用进行安全加固，同时能够保证应用的安全性，防止应用程序被盗版、应用逻辑被窃取、防重签名、重打包、反静态分析等攻击手段，犹如给应用穿上“软猬甲”，使应用防护牢不可破，免遭黑客攻击。
　　百度利用安全加固技术为工商银行旗下10余款APP提供了技术上的安全保护，以此保证这些APP不会被“劫持”，用户的个人信息和财产得到了保障。与同类产品的技术相比，百度的应用加固技术更兼容，更安全，性能更优异，启动更快，并在上万款设备的测试下印证了百度安全在业界的领先技术。
　　此外，百度还发现移 动安全不仅需要技术保障，更需要判断金融等垂直行业和领域的发展趋势，要有前瞻性的洞察，移 动互联网生态体系的建立也是为了更好的解决现象级问题。百度移 动安全此次与中国工商银行的合作，就突出这样的思考意义及参考价值。
　　连接个人财产安全的上下游
　　百度总裁张亚勤曾表示：“信息安全有了新的维度。到了人身安全和财产安全的层面，不管是支付也好，在线买东西也好，金融也好，这都是用户的钱，所以这时候财产的安全很重要。”
　　百度移 动安全早已经率先针对个人财产安全进行布局，在2014年的百度世界大会上，就已经宣布开放应用安全加固技术，这对于包括金融、移 动支付等在内的垂直领域的安全发展都有着推动性的意义，此次与中国工商银行的合作，正是在金融垂直领域开放技术的一次落地。
　　传统金融承受着转型的压力，同时面对纷涌而来的互联网金融，传统金融除了加速转型，真正需要实现的是与移 动金融的融合，与技术服务商的融合，目前兼备功能性与安全性的百度安全已经实现了既通过安全技术帮助上游企业做安全防护，又通过技术帮助下游用户做贴身的安全服务，架构起守护行业安全的稳固体系。
　　百度与中国工商银行的此次合作，不仅对金融产业的高速健康发展起到了助推作用，更对安全行业的服务理念与模式有着重要的参考价值。同时，对于用户个人财产安全的防护起到了积极的意义。
更多猛料！欢迎扫描下方二维码关注新浪新闻官方微信(xinlang-xinwen)。
这是给死难者家属、给天津人民的一个应有的负责任的交代，也是给全国人民、给历史一个应有的负责任的态度。每个生产安全的危险区域，背后都有权力在玩着危险的游戏。抓安全生产的要脉，首先要抓住权力这个事关人命的命脉。
落实带薪休假，不是说说而已，更不是说了就中。领导不带头，下属和工作人员岂敢“僭越”；机关事业单位都不“倒逼”，那些暂时或者声称暂时还不具备落实带薪休假条件的用工单位，又猴年马月才动得了真格。万事开头难，总得找个突破口吧。
香港经济60年代中期开始起飞，70年代出现持续增长的局面，港英政府以此为傲，便将“自由放任”视为香港经济赖以成功的基石，不肯轻易改换思路。997年，香港回归祖国怀抱，但港英政府的幽灵——“积极不干预”迟迟不肯散去。
像毕节等地那些夭折的儿童，还只是个体命运的悲凉，他们所触动的也只是人们的同情心。但在恶劣环境下成长的青少年，当他们走向社会时所形成的影响，就不仅仅是个体的了。他们将会直接来到我们的中间，用他们的早期教养和习性，直接投射和反馈在我们的身边或身上。简单游戏 快乐生活
全国门店目录
您当前的位置：
>> >> >>360发布金融证券类APP安全报告&55%登陆有风险
360发布金融证券类APP安全报告&55%登陆有风险
作者：kezz
来源：本站原创
发布时间： 16:09:27
　　12月4日，360互联网安全中心发布《2014年金融证券类手机应用安全性评测报告》（以下简称《报告》），针对下载量TOP20的金融证券类应用进行了一次全方位的安全性测评。测评结果显示，其中有11款金融证券类应用在登陆时安全性存疑，占测试应用的55%。　　　　360互联网安全中心对下载量最高的20款金融证券类手机应用做的安全测试主要包括WebView安全性、组件数据安全性、本地数据安全性和登录安全性4个主要方面的7项具体内容。
　　　　图一：下载量最高的20款金融证券类手机应用
　　两款应用存严重安全漏洞可致隐私泄露　　　　WebView是用于浏览网页的控件，金融证券类应用一般并不需要将WebView导出给其他应用供以调用。由于安卓系统中WebView相关的漏洞频发，将WebView暴露在外会面临较大的风险。从结果分析来看，20款应用中有2款应用的WebView存在严重的安全漏洞。
　　　　图二：手机应用被钓鱼攻击后进入钓鱼页面
　　黑客可以利用暴露的且未被安全保护的WebView控件进行钓鱼攻击、使用代码执行漏洞进行攻击、同源绕过攻击等方式进行恶意攻击，从而窃取金融隐私数据，劫持交易等，进而谋取暴利。　　　　20款应用存77个崩溃问题　　　　Android四大基本组件分别是Activity，Service（服务），Content Provider（内容提供者），BroadcastReceiver（广播接收器）。这四大组件是安卓应用的主要攻击目标，在组件数据安全性测试分析中，共从20款应用中扫描出77个崩溃问题，其中Activity扫描出的崩溃问题最多，占总崩溃问题总数的61%，其次Broadcast 、Service，分别占比为26%，13%。
　　　　图三：20款金融类手机应用存在崩溃个数统计
　　此外，通过对自动化结果的人工筛选，还发现了一些可利用的高危漏洞，如本地账号密码泄露漏洞、功能接口暴露漏洞、大量组件暴露漏洞等。这些漏洞可致使手机用户的登陆账号密码外泄、接收虚假推送信息等，带来极大安全问题。　　　　55%金融证券类手机应用登陆有风险　　　　360互联网安全中心对20款应用的登陆安全问题进行了分析，其中4款应用不校验服务端证书，5款应用存在重放攻击问题，2款应用明文传输密码，3款应用在社交账号绑定后，微博登陆不校验服务端证书。　　　　需要特别说明的是，对20款手机应用的测试中，使用HTTP协议传输的全部存在重放攻击问题，使用HTTPS协议传输的全部存在有服务器证书验证问题，仅有一款使用HTTP+自有协议的，暂未发现问题，即55%金融证券类手机应用登陆安全性存疑。　　　　如果客户端在登录过程中不对服务端的身份(证书)进行校验，就有可能“信任”伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。也就是遭遇“中间人”攻击。　　　　专家建议使用如下方法提升金融证券类手机应用安全性　　　　第一，尽量不要将WebView组件设置为可导出，开发者在注册广播receiver时，不仅要限制发送方必须要有相应的权限，还应限制只有相同数字签名的应用程序才能申请该权限。　　　　第二，若无必要需求，不要将大量组件接口数据暴露在外，否则会存在潜在的高危风险。开发者尽量不要将用户名和密码等敏感信息保存在本地，不要轻易赋予文件全局可读/写权限。　　　　360互联网安全中心建议开发者采用比较完善的HTTPS加密机制，并使用时间戳或挑战-响应机制应对重放攻击。另外，手机用户一定要通过安全可靠的应用市场或官网下载金融证券类手机应用，避免下载安装到被恶意篡改的应用，一定要通过360手机卫士等安全软件保护手机使用安全。　　　　详细报告地址：
你有遇到过玩游戏时切换出来查看攻略，不幸导致游戏崩溃的情况吗？下载，边玩游戏边用手机看攻略，轻松愉快，大家都在用。
没有相关文章
关注安卓中文网官方微信
扫描左侧二维码即可添加安卓中文网官方微信
您也可以在微信上搜索“安卓中文网”或“anzhuozww”，获取更多数码资讯
没有相关文章
24小时热点移动金融支付类App危机重重，安全该由谁保障？
移动支付是相对于PC端支付的一种新型支付方式，是借助移动终端（手机居多）为载体进行的一种支付方式。相对于PC端支付，移动支付具有便捷、快速等特点，这种便捷性使得移动支付成为一种新的趋势。2014年第二季度，全国共办理非现金支付业务150.38亿笔，金额456.20万亿元，其中，移动支付业务9.47亿笔，金额4.92万亿元，同比分别增长1.55倍和1.37倍，移动支付业务继续保持高位增长。
移动支付应用安全现状
移动支付快速发展的背后暗藏危机。根据调查， 2014年第一季度支付类应用共364款，共有320款应用被植入恶意病毒代码。五大购物支付类应用（支付类、电商类、团购类、理财类、银行类）中，每一类均存在大量被二次打包的现象，不少手机支付购物类APP的非官方版本被植入了病毒代码。
（数据来源：艾媒咨询）
常见移动支付应用攻击方式
1. 系统使用键盘和输入法攻击
用户在使用手机支付的时候都会使用键盘和输入法输入账号信息和密码。黑客就可以通过对系统输入法的攻击，达到对支付应用内部输入框数据的窃取。
2. 界面截取
用户在进行支付输入密码的时候，密码输入框信息为“*”，但在实际上在触发键盘的瞬间，大概1秒的时间，会显示输入的具体数字或者字母，黑客可以对界面进行实时监控，利用这1秒的时间截取屏幕，获取密码。
3. 储存本地数据窃取、用户隐私窃取
黑客可以利用技术手段获取手机本地的数据，用户隐私，如通讯录、账号信息等。
4. 反编译源码进行钓鱼攻击
黑客可能会对应用进行反编译、获取源码、修改源码、嵌入病毒、再进行打包签名，做一个和原应用一样的应用，而这个新应用里包含了如扣费、窃取隐私一类的病毒，而用户很难发现。
5. 网络交互协议抓取
就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全，但往往被别有用心之人用来网络作弊。
面对如此严峻现状，我们该如何保障移动支付应用安全？
保障移动支付安全，需要移动支付链的各方参与者共同维护，包括开发者、政府、应用渠道、安全服务商和用户。
首先，需要开发者从源头保护应用。开发者是移动支付的源头，从源头上保护应用安全，是每个开发者的义务，尤其在研发应用之时，开发者需要从技术角度对应用进行保护，例如移动支付应用最重要的so文件，开发者尤其需要重视，可以借助第三方的安全服务商进行加密保护。
其次，需要政府方面出台行业标准，规范应用基准。目前来说移动支付行业的法律法规不健全，加密标准和加密算法也不够规范，行业内缺乏统一标准；这些都需要相关部门和行业来共同制定实施，保障支付安全。伴随着移动支付的爆发式增长，监管政策亟待增强。
再次，应用市场方面加强审核、用户自身提高安全意识等也是促进市场安全发展不可或缺的因素。
最后，可以借助第三方的安全服务商对应用进行安全保护。市场上有多种为移动应用提供安全服务的厂商，作为关系着用户个人财产的重要工具，移动支付类应用必须需要更为专业、更为安全的服务。爱加密作为国内顶尖的移动信息安全智能服务提供商，专注为移动领域金融、游戏、企业级应用及开发者提供安全解决方案、漏洞检测、安全评估等一站式服务，已为众多银行、支付及大型上市手游公司提供了定制化的移动安全保护服务。
一直以来，机遇和危险并存。移动支付在带给我们便利的同时，同样也孕育着风险。保障移动支付安全是保障移动金融支付发展的前提，要保障移动支付的安全，必须要移动支付链上各方共同维护，加强安全意识，加强风险防范机制，提升移动支付风险管理水平，保障移动支付安全。
免责声明：本文仅代表作者个人观点，与环球网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
环球时报系产品
用手机继续阅读