[发明专利]金融应用的风险评估方法及装置

权利要求书

1.一种金融应用的风险评估方法，其特征在于，应用于移动终端，所述方法包括如下步骤：

获取待评估的移动金融应用程序文件；

按照预设的风险评估项，对所述待评估的移动金融应用程序文件进行风险评估，所述风险评估项包括逆向风险评估、代码风险评估和业务风险评估中的一个或多个；

综合各个风险评估项的风险评估结果，得到所述待评估的移动金融应用程序文件的风险评估结果。

2.如权利要求1所述的方法，其特征在于，所述按照预设的风险评估项，对所述待评估的移动金融应用程序文件进行风险评估的步骤包括：

对所述待评估的移动金融应用程序文件分别进行防反编译能力评估、防重打包能力评估、应用混淆评估和/或应用加固评估，得到逆向风险评估结果；

对所述待评估的移动金融应用程序文件分别进行日志风险评估、硬编码风险评估、弱加密风险评估、数据库风险评估、外部存储风险评估和/或应用目录风险评估，得到代码风险评估结果；

对所述待评估的移动金融应用程序文件分别进行登录、查询、转账和支付环节的评估，得到业务风险评估结果。

3.如权利要求2所述的方法，其特征在于，所述对待评估的移动金融应用程序文件分别进行日志风险评估、硬编码风险评估、弱加密风险评估、数据库风险评估、外部存储风险评估和/或应用目录风险评估，得到代码风险评估结果的步骤包括：

对所述待评估的移动金融应用程序文件进行反编译，得到反编译代码；

分别扫描所述反编译代码中的日志风险、硬编码风险、弱加密风险、数据库风险、外部存储风险和/或应用目录风险；

根据扫描结果得到代码风险评估结果。

4.如权利要求2所述的方法，其特征在于，所述对所述待评估的移动金融应用程序文件分别进行登录、查询、转账和支付环节的评估，得到业务风险评估结果的步骤包括：

在模拟器中运行所述待评估的移动金融应用程序文件；

监测所述待评估的移动金融应用程序文件在登录、查询、转账和支付环节的运行状态；

根据所述运行状态得到业务风险评估结果。

5.如权利要求1至4任一项所述的方法，其特征在于，所述综合各个风险评估项的风险评估结果，得到所述待评估的移动金融应用程序文件的风险评估结果的步骤之后，还包括：

根据所述待评估的移动金融应用程序文件的风险评估结果输出相应的风险提示信息和修复建议信息。

6.一种金融应用的风险评估装置，其特征在于，应用于移动终端，所述装置包括：

获取模块，用于获取待评估的移动金融应用程序文件；

评估模块，用于按照预设的风险评估项，对所述待评估的移动金融应用程序文件进行风险评估，所述风险评估项包括逆向风险评估、代码风险评估和业务风险评估中的一个或多个；

综合模块，用于综合各个风险评估项的风险评估结果，得到所述待评估的移动金融应用程序文件的风险评估结果。

7.如权利要求6所述的装置，其特征在于，所述评估模块包括：

第一评估单元，用于对所述待评估的移动金融应用程序文件分别进行防反编译能力评估、防重打包能力评估、应用混淆评估和/或应用加固评估，得到逆向风险评估结果；

第二评估单元，用于对所述待评估的移动金融应用程序文件分别进行日志风险评估、硬编码风险评估、弱加密风险评估、数据库风险评估、外部存储风险评估和/或应用目录风险评估，得到代码风险评估结果；

第三评估单元，用于对所述待评估的移动金融应用程序文件分别进行登录、查询、转账和支付环节的评估，得到业务风险评估结果。

8.如权利要求7所述的装置，其特征在于，所述第二评估单元还用于：

对所述待评估的移动金融应用程序文件进行反编译，得到反编译代码；

分别扫描所述反编译代码中的日志风险、硬编码风险、弱加密风险、数据库风险、外部存储风险和/或应用目录风险；

根据扫描结果得到代码风险评估结果。

9.如权利要求7所述的装置，其特征在于，所述第三评估单元还用于：

在模拟器中运行所述待评估的移动金融应用程序文件；

监测所述待评估的移动金融应用程序文件在登录、查询、转账和支付环节的运行状态；

根据所述运行状态得到业务风险评估结果。

10.如权利要求6至9任一项所述的装置，其特征在于，所述装置还包括：

输出模块，用于根据所述待评估的移动金融应用程序文件的风险评估结果输出相应的风险提示信息和修复建议信息。