随着在智能手机App中嵌入支付的普及,智能手机App的安全性就成为一个不得不解决的问题。
智能手机的安全性表现在以下三方面:
- 要能防止中间人对用户注册的攻击;
- 要能防止黑客对用户与服务器交互数据的篡改、复制;
- 要能在手机丢失的情况下及时锁定。
一、防止中间人攻击用户注册
所谓中间人,即黑客的一种。对智能手机App而言,始终存在被中间人围绕的情形,使得智能手机App与外界进行的任何交互,都存在被中间人拦截的可能性。
中间人 (智能手机App注册 ) 中间人
这样,智能手机App注册时向服务器提交注册密码就存在被中间人截取的可能性。现在通行的向智能手机返回验证码的做法,只能验证是注册者本人,并没有技术机制保护注册者向服务器传送设定密码不被中间人偷窥。在密码完全暴露在中间人眼底的情况下,这种验证相当于告诉注册者:“密码确实是你提供的,所以密码丢失责任在你”。这逻辑是不是不对。正确的逻辑是:注册者在设定密码时,智能手机App应该提供防护。在智能手机App没有提供相应防护措施的情况下,要求用户必须使用此智能手机App注册,那么将丢失密码的责任归咎于注册者,这是不负责任的。遗憾的是,现在基于智能手机App的注册都如此,都没有考虑此时用户的注册安全。
QQ在电脑上注册,迁移到智能手机上使用的情形又如何呢?
问题是同样的,在电脑上也同样存在中间人攻击,其注册的密码向服务器传送时也同样存在被中间人偷窥的可能。
针对中间人攻击用户注册,截取用户密码的问题,《一种安全与方便兼顾的客户端程序身份设置方法》( 专利申请号201410107714.2 )提供了一种可行的解决方案,请参考。
二、防止黑客篡改、复制用户与服务器的交互数据
注册之后,注册者成为用户,更成为黑客进一步关注的目标。
其安全性表现在:用户与服务器数据交互,黑客有可能拦截,从而有可能篡改、复制。现在,黑客对服务器的攻击已经转向对客户端的智能手机App的攻击,已经从炫耀技术转变为谋求利益。什么是利益?利益在哪里?显然,支付就是利益,用户账户有余额就是利益所在。有理由相信,未来的黑客攻击将主要针对用户,如伪造用户的小额支付,利用用户绑定的信用卡进行小额转账,等等,在不知不觉中攫取用户钱财。
现在,智能手机App在拼命往前冲,生怕落后几步用户就不见了,全然不顾智能手机App的安全性没有夯实。与PC环境下的“应用程序”不同,智能手机App将与支付浑然一体。这注定会招惹黑客。因此,在PC环境下的注册、与服务器数据交互的技术都需要重新审视,都需要在假设黑客无处不在的前提下重构。
对于:
用户、密码、数据
在PC环境下的问题是防止非法用户进入,主要技术是防用户名和密码被盗。
在智能手机App下,密码对于中间人攻击视同透明,其原因与危害也已阐明,除此之外,与服务器的数据交互也没有任何安全屏障。
这里需要重申的是,随着服务器安全加固,在智能手机App下,黑客将不会把攻击重点放在服务器上,相反,会把攻击重点放在相对脆弱的智能手机App上。对于智能手机App与服务器的数据交互,黑客可以
篡改、复制
比如,用户的一次网购可能会被黑客篡改金额,可能会被黑客重复提交。注意,当通过智能手机App网购成为一种方便的习惯后,用户往往会忽略明细返回,使得黑客的行为可以持续化。
虽然,通过对所有数据项加密的方式可以防止黑客篡改其中的数据项,但就PC环境下常见的“用户、密码、数据”三要素而言,现有的技术是没有考虑黑客“复制”的,就是说,黑客可以将用户提交的“用户、密码、数据”三要素原样进行复制,然后重复提交,达到侵占用户利益的目的。
当然,每次提交都带上时间因素,这样就可以避免重复提交。是的,这的确是解决之道。这也是笔者撰写本文的目的,就是要提醒:所有与服务器数据交互的技术在智能手机App环境下,都需要重新审视,重构,并且,必须牢记的是,用户注册时通过输入键盘输入和发送给服务器的密码在存在中间人攻击的前提下,视同透明。就是说,黑客在可以轻易获取用户密码的情况下,篡改、复制用户与服务器的交互数据都不是难事。
对上述问题的解决可参考:《一种可以防止黑客程序再次登陆的方法》( 专利申请号201310284077.1) 。
三、手机丢失怎么办
最后,手机会丢,这已成为所有智能手机App使用人所关注的。一旦手机丢失,智能手机App的任何安全性都无从谈起。手机丢了,可以挂失,挂失以后账户就可以保护了。相信,从手机丢了,到账户挂失,到帐户受到保护,时间已经过去很久了。账户是受到了保护,但是,账户也可能空了。这也是多年来对于手机丢失,这一解决方案不被接受的原因。本文提出的解决方案是:只要手机不接听电话,智能手机App就自动锁定。这是目前最快的手机丢失后,保护账户,保护智能手机App信息安全的方式。因为,想到手机丢失,你所做的第一件事无疑是顺手找一部电话立马拨打自己的手机。
详细技术方案可参考:《一种安全性与方便性兼顾的智能手机App登陆方法》( 专利申请号201310539911.7 ) 。
综上所述,智能手机App的安全解,包括以下三方面:
- 防止中间人攻击,确保用户注册安全;
- 防止黑客攻击,杜绝篡改、复制用户与服务器的数据交互;
- 当手机丢失,通过拨打电话立马锁定。