我妈找我说,可以邮寄杨梅了。我二话不说,直接开始给她我的邮寄地址。快速输入的地址让我想到一个问题,现在的输入法是不是知道的太多了?
我只要打出“浙江省杭州市”,联想出来的就是我所在的市区和街道,下面就是我所在的小区…虽然足够便利,但是如果键盘被黑灰产劫持,那么,也足够危险。
而现在市面上基于键盘输入数据的各类信息窃取攻击非常普遍。包括移动金融、电子商务、第三方支付、网络游戏、社交软件等App都存在各类用户信息泄露的环节。大量诸如账号、密码、手机号码、信用卡号、银行卡号、身份证件号码、家庭住址信息、公司地址信息、家庭成员信息、个人私密信息、商业信息等敏感数据被通过App键盘录入移动互联网中。黑客们通过反编译这些流行应用,将键盘钩子(监控程序)捆绑嵌入其中,以监控、窃取用户通过键盘输入的各项数据。
一些常见的键盘攻击行为
一些流行的键盘输入攻击包括:
- 输入数据监听攻击
- 键盘截屏攻击
- 破解加密算法
- 窃取输入数据
- 其他攻击等等
- 键盘劫持攻击
- 输入数据篡改攻击
- 未加密前篡改
- 来自系统底层的内存dump攻击
针对一些涉及到交易的App,通过对键盘的攻击,可以获得用户账户、证件、密码、银行卡信息、转账信息以及有效联系方式等个人重要信息。 以移动金融、手机网游、社交、移动购物为例,App键盘攻击将会带来以下风险:
- 银行卡账户密码、交易金额、交易信息、交易凭证等被窃取从而造成财产损失
- 被监听游戏帐号、密码,从而造成虚拟财产损失
- 被窃取社交应用账号、密码,被利用社交关系网络进行精准诈骗
- 被窃取用户资料或商业机密并被售卖
- 交易金额被篡改
基于上述问题,我们要如何防范?
产品说明
- 安全键盘SDK: 是一款具有防止被恶意输入,数据被恶意篡改,真实数据被监听的安全键盘。安全键盘给予你从底层、启动前、输入时、输入后等多个维度进行输入数据保护。
- 作用领域:金融行业,银行行业等敏感数据输入场景。
底层技术
- 密码在内存中全程加密存储 采用高强度的组合加密算法和机制,对安全键盘输入的信息在全流程实施加密,不留下风险空当。
- 全程安全检测保护 排除非法环境输入(root,越狱,调试模式等),并提示用户
- 防截屏攻击 对截屏攻击进行防御,不回显输入信息。
- 防止从底层获取密码 通过随机布局键盘,防止被底层分析输入节点进而获取密码。
- 防止底层dump内存读取密码 对于底层的内存dump做了有效防护,防止被dump出内存密码的明文拷贝等风险。(android)
- 防输入日志泄露 对输入输出的日志进行保护,防止输出信息打印出明文密码帐户信息。(android)
- 密码so文件加壳保护 在so文件中保存密钥,并对so文件高强度加壳。(android)
安全键盘接入
Android接入
一、环境要求
条目 | 说明 |
---|---|
开发目标 | Android 4.0+ |
开发环境 | Android Studio 3.0.1 或者 Eclipse + ADT |