11月15日，由北京移动金融产业联盟、移动支付网联合主办的2018第三届中国移动金融安全大会在深圳顺利召开，本次大会主题为《科技赋能，数说安全》。梆梆安全高级安全顾问赵千里应邀出席，并以《金融风控下的终端应用风险管控》为主题发表演讲，解析了目前终端应用在运行中可能出现的风险问题。

移动安全威胁的五个阶段

赵千里认为，移动安全威胁的演进主要是五个阶段：

阶段一是技术先天性缺陷，会出现反编译、篡改、二次打包、钓鱼应用等威胁；

阶段二是业务逻辑存在缺陷，开发人员在开发过程中引入了业务逻辑漏洞，反编译成功后可以看到源码，源码中的脆弱点就在于开发过程中“重业务，轻安全”造成的安全考虑不足，存在大量的业务逻辑漏洞可以被攻击者利用；

阶段三是操作系统存在漏洞，移动端操作系统受存储容量，计算能力，包括诞生的时间等综合因素来看，目前远没有桌面端的操作系统具备较完备的安全机制，安全机制不健全会导致应用在运行过程中被攻击；

阶段四是运行时的动态攻击，操作系统的安全架构不完善就造成运行过程中被动态调试，如模拟器、注入攻击、调试行为、设备篡改、位置欺诈等运行时的动态攻击。

阶段五是业务欺诈，随业务的变化，攻击者的目的也日益明确，虚假注册、批量开卡、批量开户、薅羊毛、刷单等业务欺诈及黑产行为成为了主要的安全威胁。

在基础安全防范措施完善之后，目前移动安全仍然存在大量的业务安全威胁，比如：如何保障账户的安全？如何防止业务的欺诈？根据主管部门和安全法的要求，如何防止数据泄露？

终端应用运行的风险概述

除了解析了移动安全威胁的演进过程，赵千里还对终端应用运行的风险进行了总结，主要是四个方面：

1、终端设备不可信：终端应用可能运行在模拟器、设备信息造假等非可信设备上。

2、运行环境不可信：终端应用可能运行在存在病毒木马的非可行操作系统上，应用安装包为非官方发布的合法安装包。

3、操作手段不可信：终端用户可能存在隐藏真实地理位置，对应用进行批量机器操作等非正常的使用手段。

4、本地逻辑不可信：终端黑客可能使用注入、调试等多种手段绕过本地的业务控制逻辑。

根据此情况，梆梆安全也推出了集感知、阻断、溯源于一身的移动威胁感知平台，让金融机构能够通过主动防御的方式，防范各种风险。