上次小Wa针对PCI手机POS标准的核心安全要求进行了分析,今天咱们看看标准中最重要的部分——应用APP安全要求。
APP安全要求(Contactless on COTS Application)
篡改和逆向保护(Tamper and Reverse Engineering Protection)
设备传感器管理(Management of on-device sensors)
在线处理(Online Processing)
应用真实性(Application Authenticity)
应用非接触要求(Contactless on COTS Secure Application)
安全部署(Secure Provisioning)
审计信息(Audit Logs)
持卡人数据非接触读取要求(Contactless Read of Cardholder Data)
持卡人数据加密(Cardholder Data Encryption)
需要注意这里的APP并非仅是指Android或iOS侧的应用,还包括运行在TEE侧或云端部分的相关软件。
1、篡改和逆向保护
安全要求:
1)APP应具备对逆向分析和篡改代码执行逻辑的保护机制,比如:代码混淆、代码和控制流的完整性检查、代码段加密等。
2)APP应能检测到安装在root或jailbroken设备,或在正常安装渠道外被安装的情况,并向监控系统上报。
3)APP针对篡改迹象的检查失败后,应被禁用,防止读取持卡人数据。
2、设备传感器管理
安全要求:
1)当APP处于前台运行时,应禁止其他APP访问和使用NFC接口。
2)当APP处于前台运行时,应禁止其他APP访问和使用摄像头(包括前置和后置摄像头)。
3、在线处理
安全要求:
1)所有交易必须在线被处理。
2)当在线连接不可用时,应禁止交易进行。
3)当交易过程中连接断开时,应安全擦除持卡人数据。
4、应用真实性
安全要求:
1)APP应为商户提供通过不同渠道验证APP真实性的方法。
2)APP启动时应显示为每个商户设置的特有信息。
3)后台监控系统应能唯一识别和认证APP的每一次安装动作。
4)APP在启动和被请求时应显示其版本号。
5)APP在启动或连续运行24小时时应检查更新或补丁。
5、应用非接触要求
安全要求:
1)内存清除:当下列情况出现时,APP必须清除其使用的内部缓存和内存。需要注意的是,清除方式必须是主动行为,而不能依赖固有的垃圾回收机制。
1.1)交易完成时
1.2)正常交易过程中任何原因导致的交易中断
1.3)APP等待持卡人或商户超时
1.4)后台监控系统发出入侵检测信号
1.5)APP被其他APP干扰时
1.6)APP暂停或停止运行时
1.7)APP失去前台焦点时
2)APP编译时必须启动缓冲区溢出保护机制。
3)APP申请分配的内存不能同时具有写入和执行权限。
4)APP只能访问与其功能相关的硬件,只能开启与其功能相关的网络连接。
5)APP必须对所有敏感数据进行加密。
6)APP使用白盒密码算法时,白盒密钥至少每月更换一次。此外,保护持卡人数据或鉴证数据不能使用白盒密码算法。
6、安全部署
安全要求:
1)如果APP中使用了任何通用值(比如白盒密码算法中的密钥),必须只能在安装和初次启用时使用。
2)APP的安装和更新只能通过应用商店进行。
3)在APP安装前,必须验证APP的签名。
4)APP不能禁用OS的安全特性。
7、审计信息
安全要求:
1)APP必须生成审计信息,并安全传输至后台监控系统,同时本地禁止保存审计信息。
2)APP生成的审计信息至少记录下列事件。
2.1)访问持卡人数据的用户
2.2)影响APP安全功能的相关活动
2.3)对APP审计信息的访问活动
2.4)对APP识别和鉴别机制的使用或更改活动
3)APP生成的审计信息至少记录下列内容。
3.1)用户标识
3.2)事件类型
3.3)日期时间
3.4)成功状态
3.5)事件发起方
3.6)相关数据,系统组件/资源的信息
8、持卡人数据非接触读取要求
安全要求:
1)当APP处于开发者模式或模拟器上运行时,禁止读取NFC数据。
2)APP在交易过程中必须检测以下事件,并中止交易,同时清除包含持卡人数据在内的所有收集数据。
2.1)APP切换
2.2)APP失去前台焦点
2.3)传感器被激活
2.4)其他APP访问NFC
9、持卡人数据加密要求
安全要求:
1)持卡人数据从NFC进入APP时应被立即加密,并且在传输至后台交易系统的过程中保持加密状态。
2)加密持卡人数据的密钥应每交易或者每会话唯一。
3)持卡人数据的加密方式能够防止重放攻击。
以上是PCI手机POS标准中APP部分的安全要求。小Wa认为单看安全要求还比较容易,但是真正实施起来困难重重,毕竟手机OS层面存在的安全风险不容忽视。
展开全文
- 移动支付网 | 2021/5/7 14:53:46
- 竺道资本 | 2021/3/10 9:02:52
- 36氪出海 | 2020/11/30 9:37:21
- 移动支付网 | 2020/11/18 14:54:26
- 移动支付网 | 2020/9/26 18:38:39
- 移动支付网 | 2019/11/25 12:59:05
- 移动支付网 | 2019/7/26 14:42:26
- WaSec | 2019/6/22 13:11:37
- WaSec | 2019/6/4 10:04:33
- 移动支付网 | 2019/5/30 20:16:42
- cnBeta | 2022/5/27 10:55:29
- 移动支付网 | 2022/3/18 14:48:01
- 移动支付网 | 2022/2/14 10:29:40
- 移动支付网 | 2022/2/10 10:01:43
- 新浪科技 | 2022/1/27 14:44:29