Question

早在 2012 年，央行就发布了金融行业移动支付标准，涵盖了应用基础、安全保障、设备、支付应用、联网通用 5 大类 35 项标准，并从产品形态、业务模式、联网通用、安全保障等方面明确了系统化的技术要求，覆盖中国金融移动支付各个环节的基础要素、安全要求和实现方案，确立了以“联网通用、安全可信”为目标的技术体系架构。

2017 年，泰尔终端实验室依据相关标准对多款基于 Android 操作系统的手机银行 APP 进行了安全测评，其测评内容包括通信安全性、键盘输入安全性、客户端运行时安全性、客户端安全防护、代码安全性和客户端业务逻辑安全性等 6 个方面的 39 项内容，分析评测结果不容乐观，如图 12-1 所示。

图 12-1　泰尔终端实验室 2017 年对几大金融 APP 测试

在报告的最后，该实验室建议相关银行采取更加安全的 APP 加固解决方案，同时增加应用分发渠道监控，第一时间监测盗版、篡改应用发布上线；增加应用自身完整性校验功能，检测到应用被篡改后，及时提醒用户卸载非法应用或者自动进行更新修复。

我们把移动安全问题分两个话题来阐述：APP 开发安全，APP 业务安全。