騰訊安全玄武實驗室剖析移動支付技術

移動支付的迅猛發展正在給各行各業帶了全新的機遇與挑戰，如何讓用戶在享受移動支付便捷性的同時，確保其財產安全不受損害，成為了亟需解決的問題。8月26日，在由知道創宇主辦的KCon黑客大會2017上，來自騰訊安全玄武實驗室的安全研究員hyperchem(馬卓)發表了名為《從三星支付底層實現看移動支付安全體系設計》的演講，首次全景剖析移動支付的安全系統，為移動支付的安全保障提供了參考標準。

KCon黑客大會2017獲得了來自騰訊安全的鼎力支持，騰訊安全聯合實驗室七大子實驗室整齊亮相本次大會。其中，騰訊安全科恩實驗室的負責人吳石和騰訊安全玄武實驗室的負責人於暘(TK教主)均受邀加入大會專家顧問團隊，就本次大會期間各類頂尖安全議題進行評議。

移動端病毒態勢猖獗 移動支付需應對安全新挑戰

移動網路安全環境正在深刻的影響到移動支付安全。根據此前騰訊安全發布的《2017上半年互聯網安全報告》顯示，2017年上半年騰訊手機管家截獲Android新增病毒包總數達899萬，其中，騰訊手機管家查殺病毒次數就高達到6.93億。如此嚴峻的移動安全環境，也進一步要求手機廠商、安全廠商在移動支付環節中採取更加積極的應對姿態。

在KCon黑客大會上，騰訊安全玄武實驗室的安全研究員hyperchem(馬卓)以三星支付為例，詳細的對目前手機廠商在底層安全技術的實踐及應用做了剖析，並闡明其在應用層、內核態、trustzone等各個層次對其支付系統的安全防禦手段。在展示手機移動支付的完整技術圖景的同時，hyperchem(馬卓)還對目前移動支付所採用的安全技術進行系統介紹，詳細揭示了移動支付開發商在支付各個環節進行的安全防護手段。

在hyperchem(馬卓)看來，移動支付的廣泛普及，也進一步提升了不法分子作案的空間;同時，不法分子還會緊跟技術趨勢，不斷對技術、作案手段進行升級。以二維碼為例，越來越多的用戶已經養成了隨手掃碼支付的習慣，但不法分子也緊追時勢，加大針對二維碼渠道的病毒包投放比例，一旦用戶掃中帶毒的二維碼，手機就會自動下載惡意病毒，進而威脅用戶隱私和財產安全。根據《2017上半年互聯網安全報告》顯示，2017年上半年，二維碼已經成為了主流病毒渠道來源，佔比高達20.80%。

騰訊安全玄武實驗室對外能力輸出成常態，廠商用戶均受益

業內認為，在目前日益嚴峻的互聯安全環境下，移動支付安全必將受到更多威脅和挑戰。而騰訊安全玄武實驗室首次全景剖析移動支付的安全系統，不僅為安全廠商、手機廠商帶來了最新的技術進步和升級理論依據，也同時反映出互聯網安全廠商在技術價值輸出方面，更加系統和具有前瞻性。

事實上，對外技術能力輸出已經成為騰訊安全玄武實驗室的常態。針對手機安全，騰訊安全玄武實驗室在剛剛結束的第二屆CSS互聯網安全領袖峰會上還對外披露了一種新安全威脅模式—Wombie Attack，通過對手機設備固件代碼改造，使得被感染者成為新的攻擊者，在無需互聯網、無需交互的環境下即可實現擴散式攻擊，用戶智能手機或將面臨更加危險的狀況。而這一威脅情報的對外披露，不僅有助於廠商進一步優化底層安全，也將最大化幫助用戶進行防禦。

另外，有消息稱，近日其與中科院合作研發的成果也成功通過了網路空間安全協會的專家評審，並作為協會2017年領先成果推薦參選第四屆世界互聯網大會的「世界互聯網領先科技成果」。

作為專註信息安全研究的騰訊安全玄武實驗室，研究方向向涉及PC端、智能手機、智能硬體等多個領域的安全問題。而在安全領域最為關注的漏洞挖掘研究方面，該實驗室頻繁獲得包括蘋果、微軟、聯想等國際巨頭公司的致謝。數據顯示，在過去的2016年中，騰訊安全玄武實驗室和騰訊安全聯合實驗室旗下的其他六大實驗室相互配合，累計為微軟、蘋果、谷歌、Adobe四大國際頂尖廠商提交漏洞269個，位居國內首位。今年3月，該實驗室憑藉原創漏洞報送第一名的成績，獲得了國家信息安全漏洞共享平台(CNVD)授予的「原創漏洞報送突出貢獻單位「稱號。在「第三屆大數據安全高層論壇」期間，該實驗室還榮獲國家信息安全漏洞庫(CNNVD)授予的「2016年度優秀支撐單位」獎項。