2019年10月には、コンピュータ情報システムのデータに00 Tianmou不正アクセス犯罪と3年の刑を宣告し、万元の罰金を科しました。銀行では、再生やその他の手段***、キャプチャソフトウェア、PS IDにより、1月15日までに2019年1月5日の間、Tianmouは中学校の締約国が、それは非常に強力なコンピュータの才能を持っていますモバイルⅱ虚偽の身元情報登録バンクを使用してアプリケーションを銀行内、ⅲクラスは、違法な販売利益を占めています。
ケーススタディ
多くの人々は、***は収益性の高いことができ、再生***、***、銀行アプリケーションは、キャプチャを通してステップバイステップであるか疑問に思うでしょう。のは、特定の犯罪のプロセスを分析してみましょう:
まず、Tianmou切片にし、「ソフトウェア・キャプチャー」技術のセーブ顔認識システムの認証パケットによる銀行によって発行された私のIDカード情報、通常のプロセスでのアカウント登録、経由。
第二には、カードのリンクを開くためのパスワードを入力し、Tianmouアプリケーションは、最初のステップ(あなたの写真のIDカードをアップロードする)に戻り、情報偽造IDカードを入力して、このリンクを顔認識認証を入力します。
最後に、Tianmouは、自分のアイデンティティに関する情報の一部であることよりも、これを行うために誤って銀行システムを作り、(私の情報を含む)は、前のインターセプト認証パケットアップロードの確認を使用して、成功して、正常に偽のIDを使用できるようにすることを、私の顔を検証します銀行口座への登録証明書情報。
クライアントアプリケーションの緊急データのセキュリティ
どのように我々は、データセキュリティの問題クライアントを再検討する必要がありますか?アリペイ現在、機構「エンドのセキュリティ」を解析することによって設計され、私たちにいくつかの新しいインスピレーションをもたらすことができるかもしれません。
セキュリティ設計のアプリケーション開発
主に「この領域」、「ラインラン」と「アプリ終了」3つのレベルに分けによってアプリの終了を防止するために、マルチレベルのセキュリティ・メカニズムを作成または****** ***によっておさめます。この領域では、コードの難読化、暗号化およびバイナリの保護を達成するための他の手段を通じて、ライン実行し、データを安全な環境とデータの暗号化やその他の手段を作成するには、「セキュリティブラックボックス」を通じて予防を漏らす;アプリケーション最後に、データ・ストレージ・セキュリティによって、安全性署名と完全にビジネス機能の安定動作を確保するための他の手段。
クライアントアプリケーションのデータを安全に送信、セキュアなストレージ
看板へのデータ転送とテストクライアントでは、セキュリティの改善を実現するためには、の長年の課題となっています。「安全なブラックボックス」では、現在、アリペイは、我々が承認のためのデータを通じてトップクラスのビジネスのすべての種類をパッケージ化インターフェース、などAppSecretなどのアプリケーション・レベルのデータの暗号化ストレージを使用して達成されています。
セキュリティブラックボックス、クライアントによって暗号化キーのセキュリティを確保するために、公開鍵と秘密鍵の暗号化を適用することによって生成されたデータのための離散ストレージ。そして、コード難読化のブラックボックス自体、複数のアンチデバッグ機構、その結果、大幅に改善された安全性能保証を確保します。
また、ブラックボックスのセキュリティベースのアンチデバッグ技術は、GDB、IDA Proのダイナミックなデバッグ故障解析の混乱のエクスポートテーブルに基づく技術、ごみと完全に静的解析アプリケーションによって***命令難易度を高めるための他の手段として、一般的なデバッグツールを、作ります。静的および動的な、クライアントのデータ転送とストレージセキュリティを組み合わせて完全に保護することができます。
ユーザー情報の確認
継続力強化オペレータ端末装置と、強力なCPUとGPUによる携帯端末装置は、非常に複雑な操作を行うことができます。したがって、このようなアリペイ、私たちはさらに、インテリジェントなユーザ認証情報を強化するための助けとしてxNNエスケープ、モバイルAIエンジンのシリーズの終わりを早めます。
金融、銀行カードやIDカードOCR認識などの事業特性の終わり、顔認識、インビボでの検出および他のインテリジェントサービスではと組み合わせることで、中にいる間など、高い認識精度とスピード、豊富なモジュールと、ほぼ2億ユーザ認証されていますアリペイ小さなプログラムも開いてきました。
アプリのライフサイクル保護
アプリの実際のアプリの開発から設定し、クライアントのセキュリティ、およびオンラインのワンストップソリューションを使用します。アプリケーション開発段階では、コードの難読化、データの暗号化、暗号化などのセキュリティデータベースの開発とデータのセキュリティ機能を提供することと、オンライン相を、アプリケーションの能力はDEXパッカー、SOパッカー、抗逆コンパイル、リプレイ梱包容量によって補強を提供するために安全な暗号化によるキーボードは、ユーザーが入力した情報のセキュリティを保護するためにしながら、使用段階、署名API、APIデータの暗号化と整合性とデータのセキュリティを保護するために、他の手段を通じて、アプリケーションの全体的な安全性のレベルを向上させます。
アプリケーションのセキュリティ機能mPaaSクライアント
アリペイモバイル開発プラットフォームからも、mPaaSは、弱いネットワーク条件でピーク帯域幅と可用性をネットワーク要求のリスクを対処Appでのサービスの課題の品質を向上させるためだけでなく、エンドポー金融レベルで降水のセキュリティ機能の支払いを完了しました業界の最前線に属するすべてを識別する能力。現時点では、補強技術とブラックボックスmPaaSクライアントと、モバイル端末のセキュリティのデータコードのセキュリティとネットワーク層を保護するために、ゲートウェイはクライアント環境を特定し、インターセプト不審な要求に行う能力ことができますが、承認、暗号化、などを提供します。
データセキュリティ、認証、セキュリティ、機能安全設計で、クライアントアプリケーションのための「モバイルバンキングのクライアント・アプリケーション・ソフトウェアのセキュリティ管理の実践」を導入しました2019年9月に中国人民銀行と組み合わせることで、秘密鍵の管理、データセキュリティ、安全入力をパスワードアンチの側面 - ***容量が明示的に設計、開発、配布および運用・保守のライフサイクルにおけるクライアントアプリケーションの包括的なカバレッジによって必要とされています。
mPaaS製品は、2000人の以上の顧客を中国金融認証センターの安全性評価に合格し、数多くのサービス銀行、証券、政府、運輸、その他の産業ました。一方、クライアントのセキュリティmPaaSは、より良いとのビジネスのための技術主導型ビジネスの革新を行うには、実際のセキュリティおよびモバイルアプリケーションの安定性の構築を支援企業に包括的なセキュリティソリューションを提供し、より良い体験を。