CFCA张翼:移动端安全需要全流程多样化的防护
移动支付网 2019/5/5 18:05:51

近年来经常可以看到新闻中出现各种“新技术”“黑科技”对生物识别的攻击,还有各种对于移动端本身的攻击比如对移动端安全环境进行的攻击等等。这些“黑科技”对现在的移动端安全会带来多大影响?我们该如何面对?

4月24-25日,由北京移动金融产业联盟、移动支付网联合主办的2019第三届中国移动金融发展大会在北京召开,中国金融认证中心(CFCA)业务部助理总经理、电子认证与移动端身份认证技术专家张翼以《新技术对移动端安全的影响与防护》为主题进行了分享。

张翼首先分析了用户在什么情况下个人利益受到了损失,分析了诈骗案中的手法,将案件分成了两大类,第一类是针对用户进行诈骗攻击的案件,既对用户进行欺骗,诱使用户做出错误的举动;第二类是针对设备或技术进行攻击的案件,也就是针对APP、人脸识别等进行攻击从而造成用户损失的案件。

张翼指出,现在诈骗绝大部分都是针对用户本身的,针对设备或技术的案件只是一部分。他认为,我们必须确定在新出现的技术中有哪些是“华而不实”不具有攻击性的,哪些是“迫在眉睫”需要时刻防备的。

欺诈和黑产分不开关系,分析欺诈就要分析黑产,要分析黑产首先要分析攻击者。张翼表示,黑产分子的攻击动机已经出现了变化,在十几年前甚至更早黑产分子写木马是为了炫技,而现在谋利、求财已经成为了主要动机。谋利、求财就需要降低“成本”、增加“利润”、降低“风险”,他们如何做呢?

接着,张翼分析了黑产分子的攻击手段,将各种攻击手段分为:非接触式-诱导被害人主动操作、非接触式-通过已有数据主动攻击被害者、接触式-单次接触式攻击和接触式-多次接触式攻击四种。

他指出在四种攻击方式中,非接触式-诱导被害人主动操作技术难度相对较低,成本也较低,是很多犯罪团伙的主要作案手法;非接触式-通过已有数据主动攻击被害者对技术上有一定的要求,也有不低的“成本”,但是“收益”也是惊人的;接触式-单次接触式攻击技术性较强,无法大规模使用;接触式-多次接触式攻击难度和成本都太高,但是很受到媒体的追捧。

通过对四种攻击手法的分析,得出结论黑产分子更倾向选用非接触式攻击,针对现在个人信息泄露情况严重,非接触式-通过已有数据主动攻击是防范的重点,最好的办法就是解决个人信息泄露问题,从根源上杜绝攻击。

个人信息从哪里泄露的呢?根据CFCA调查,移动端信息安全已经十分危急,移动端APP对于个人信息的收集行为已经严重到了非常夸张的地步,针对这个情况,监管正在逐渐趋于严格,公安部已经采取了专项治理,立法保护信息安全也在进行。

随后,张翼分享了CFCA在移动端安全的思考。他表示,使用一个高级别的安全方案,不一定能保证安全,需要使用更强力的手段来应对非接触式攻击,对生物识别信息进行特别保护,保证生物识别信息不在网络上传输、不在后台存储。

张翼表示,移动端安全需要事前、事中、事后全流程防护,需要多种多样化安全产品相互配合,使用数字证书等技术在多维度形成完整的安全防护体系。


展开全文
相关阅读
资讯查询取消