[发明专利]金融应用的风险评估方法及装置

说明书

技术领域

本发明涉及移动金融技术领域，尤其涉及金融应用的风险评估方法及装置。

背景技术

随着移动互联网和智能手机的快速发展，各家商业银行纷纷推出了包括手机银行在内的形式丰富的各类移动金融应用，面向不同人群、不同场景，提供灵活便捷的移动金融服务。在移动金融快速发展的同时，涉及系统和信息的安全问题也显得越来越重要。

现有技术中，移动应用风险评估方法侧重于检测移动应用中存在的安全缺陷或漏洞，这些技术通常使用静态或动态分析方法对移动应用程序进行评估或测试。一般而言，针对移动应用的静态分析方法的主要过程为：1)反编译移动应用程序，获取反编译代码；2)分析应用配置文件，获取组件、权限等安全问题；3)分析反编译代码，获取代码中的安全缺陷或漏洞；4)收集安全问题，给出静态分析结果；而针对移动应用的动态分析方法主要过程为：1)在真机或模拟机中动态执行移动应用；2)使用相关工具或技术获取动态数据，分析应用中存在的安全缺陷或漏洞；3)收集安全问题，给出动态分析结果。

以上方法是移动应用安全风险评估的通用性方法，但是对于移动金融应用的评估而言，会更加重视在敏感数据方面的风险，因此评估一个移动金融应用的敏感数据泄露风险时，现有技术存在以下问题：

1)对于逆向攻击，未考虑移动金融应用被反编译情形下的数据泄露风险；

2)对于代码安全，未考虑金融相关的硬编码、数据库等风险；

3)对于业务安全，未考虑移动金融应用登录、支付等关键场景评估需求。

发明内容

本发明的主要目的在于提出一种金融应用的风险评估方法及装置，旨在实现对移动金融应用进行综合全面地评估，从而为移动金融应用应对数据泄露风险提供有效的参考。

为实现上述目的，本发明提供一种金融应用的风险评估方法，应用于移动终端，所述方法包括如下步骤：

获取待评估的移动金融应用程序文件；

按照预设的风险评估项，对所述待评估的移动金融应用程序文件进行风险评估，所述风险评估项包括逆向风险评估、代码风险评估和业务风险评估中的一个或多个；

综合各个风险评估项的风险评估结果，得到所述待评估的移动金融应用程序文件的风险评估结果。

可选地，所述所述按照预设的风险评估项，对所述待评估的移动金融应用程序文件进行风险评估的步骤包括：

对所述待评估的移动金融应用程序文件分别进行防反编译能力评估、防重打包能力评估、应用混淆评估和/或应用加固评估，得到逆向风险评估结果；

对所述待评估的移动金融应用程序文件分别进行日志风险评估、硬编码风险评估、弱加密风险评估、数据库风险评估、外部存储风险评估和/或应用目录风险评估，得到代码风险评估结果；

对所述待评估的移动金融应用程序文件分别进行登录、查询、转账和支付环节的评估，得到业务风险评估结果。

可选地，所述对待评估的移动金融应用程序文件分别进行日志风险评估、硬编码风险评估、弱加密风险评估、数据库风险评估、外部存储风险评估和/或应用目录风险评估，得到代码风险评估结果的步骤包括：

对所述待评估的移动金融应用程序文件进行反编译，得到反编译代码；

分别扫描所述反编译代码中的日志风险、硬编码风险、弱加密风险、数据库风险、外部存储风险和/或应用目录风险；

根据扫描结果得到代码风险评估结果。

可选地，所述对所述待评估的移动金融应用程序文件分别进行登录、查询、转账和支付环节的评估，得到业务风险评估结果的步骤包括：

在模拟器中运行所述待评估的移动金融应用程序文件；

监测所述待评估的移动金融应用程序文件在登录、查询、转账和支付环节的运行状态；

根据所述运行状态得到业务风险评估结果。

可选地，所述综合各个风险评估项的风险评估结果，得到所述待评估的移动金融应用程序文件的风险评估结果的步骤之后，还包括：

根据所述待评估的移动金融应用程序文件的风险评估结果输出相应的风险提示信息和修复建议信息。

此外，为实现上述目的，本发明还提供一种移动金融应用的风险评估装置，应用于移动终端，所述装置包括：

获取模块，用于获取待评估的移动金融应用程序文件；

评估模块，用于按照预设的风险评估项，对所述待评估的移动金融应用程序文件进行风险评估，所述风险评估项包括逆向风险评估、代码风险评估和业务风险评估中的一个或多个；