解决移动应用的输入安全危机-国土报中文版

本篇文章2522字，读完约6分钟

为了安全起见，各种早期系统和web应用程序都需要用户建立登录帐户、密码、设置秘密安全性和其他认证信息。在建立登录账户的过程中，系统有时会要求用户填写身份证号码、公司信息、家庭地址、家庭成员信息、电子邮件地址、手机号码等。为了加强安全性，有些用户应该在登录时填写系统随机给出的安全验证码。在移动网络时代，各种移动金融应用、电子商务交易应用、第三方支付应用、支付宝、手机游戏等等。将与用户的信用卡账户和银行卡账户绑定，以完成在线交易。自带设备的人习惯于在移动终端上输入业务信息，通过移动互联网传输和确认敏感数据等。

解决移动应用的输入安全危机

人们通过键盘输入各种数据信息，而恶意攻击者则通过丢钩子来监控用户的键盘操作。一旦他们发现键盘操作，他们会将窥探到的机密信息发送到黑客指定的电子邮件地址或远程服务器站点。在今年的国内安全会议上，外国安全专家还展示了如何通过谷歌等智能眼镜直接看到用户在智能手机上输入的密码。我们如何确保输入的安全性？

解决移动应用的输入安全危机

在个人电脑上，人们通过软键盘干扰恶意攻击者对键盘操作的监控。事实上，软键盘，一个专业的安全键盘系统，也可以用来保护移动终端的输入安全。

在移动互联网时代，黑客经常反编译一些流行的应用程序(如输入法、电子地图等)。)，将键盘挂钩(监控程序)绑定并嵌入其中，并在二次打包后将其上传到各种应用市场进行推广和传播。当用户安装并运行这些被感染的应用程序时，黑客嵌入的钩子程序将被激活并悄悄地驻留在后台，从系统底部监控用户通过键盘输入的数据，发起输入数据监控攻击、键盘劫持攻击、键盘屏幕截图攻击、输入数据篡改攻击和内存转储攻击，同时破解加密算法，窃取输入后存储的数据或篡改未加密的数据。

解决移动应用的输入安全危机

在黑客的攻击下，用户的键盘操作就像裸奔一样。攻击者容易获得网上交易用户的银行卡账户密码、交易金额、交易信息和交易凭证、喜欢网络游戏和游戏中虚拟物品的朋友的游戏账户和密码、喜欢社交网络的朋友的社交应用账户、密码和好友列表信息。用户隐私信息、公司机密数据和网上银行存款只要被锁定，就可能被截获。据统计，去年全球有超过5亿用户遭受信息泄露。

解决移动应用的输入安全危机

移动开发者总是习惯于调用系统的默认输入法，因此有必要解决移动应用的输入安全危机，比如使用安全键盘。

为了键盘的安全性，需要从输入启动前/期间/之后、应用层/底层、数据传输、数据存储、内存数据转换等阶段考虑全过程保护。也就是说，在软键盘启动之前，当输入状态时，在数据未加密之前，应该进行安全保护，加密数据的加密算法应该受到保护。此外，虚拟安全键盘的按键应随机分布，以免在视觉上混淆安全性。只有这样，我们才能有效地抵御诸如数据拦截、键盘劫持、键盘屏幕捕获和键盘窥探等攻击。

解决移动应用的输入安全危机

最典型的安全键盘是邦邦安全推出的金融级移动应用键盘保护解决方案。2012年5月8日，中国人民银行发布了《网上银行系统信息安全通用规范》，涉及网上银行系统的技术、管理和业务操作三个方面，分为基本要求和增强要求两个层次。基本要求是网上银行系统的最低安全要求，增强要求是三年内应满足的安全要求。据对比统计，“安全”安全键盘超过了本规范的增强要求，完全达到并超过了银监会和PBC基于cs架构的特殊安全控制技术标准，显示出其强大的安全度。

解决移动应用的输入安全危机

Bangbang Security提供的标准随机分布式虚拟安全键盘可以集成到开发人员开发的移动应用程序中，并在输入数据时调用。您可以从http://Bancle/solution/SDK-center/免费下载。

“砰”安全键盘每次通过键盘位置随机排列，数字键盘每次输入后都会发生变化，防止分析输入点从底部被驱动，从外部被窥探，从而分析和拦截用户输入的密码。底层内存转储也得到有效保护，以防止内存密码的明文副本等风险。当系统调用安全键盘请求输入时，它还将配合安全操作，如清理场地、扫描环境和杀死病毒。在输入期间防御屏幕截图攻击，并且不回应输入信息。保护输入和输出日志，并防止登录输出信息打印清晰的密码帐户信息。将密钥保存在难以反编译的so文件中，并以高强度封装该so文件。通过高强度的组合加密算法和机制，安全键盘输入的信息在整个过程中被加密，没有留下任何风险的空块。

解决移动应用的输入安全危机