技術領域

本發明涉及移動金融技術領域，尤其涉及金融應用的風險評估方法及裝置。

背景技術

隨著移動互聯網和智能手機的快速發展，各家商業銀行紛紛推出了包括手機銀行在內的形式豐富的各類移動金融應用，面向不同人群、不同場景，提供靈活便捷的移動金融服務。在移動金融快速發展的同時，涉及系統和信息的安全問題也顯得越來越重要。

現有技術中，移動應用風險評估方法側重于檢測移動應用中存在的安全缺陷或漏洞，這些技術通常使用靜態或動態分析方法對移動應用程序進行評估或測試。一般而言，針對移動應用的靜態分析方法的主要過程為：1)反編譯移動應用程序，獲取反編譯代碼；2)分析應用配置文件，獲取組件、權限等安全問題；3)分析反編譯代碼，獲取代碼中的安全缺陷或漏洞；4)收集安全問題，給出靜態分析結果；而針對移動應用的動態分析方法主要過程為：1)在真機或模擬機中動態執行移動應用；2)使用相關工具或技術獲取動態數據，分析應用中存在的安全缺陷或漏洞；3)收集安全問題，給出動態分析結果。

以上方法是移動應用安全風險評估的通用性方法，但是對于移動金融應用的評估而言，會更加重視在敏感數據方面的風險，因此評估一個移動金融應用的敏感數據泄露風險時，現有技術存在以下問題：

1)對于逆向攻擊，未考慮移動金融應用被反編譯情形下的數據泄露風險；

2)對于代碼安全，未考慮金融相關的硬編碼、數據庫等風險；

3)對于業務安全，未考慮移動金融應用登錄、支付等關鍵場景評估需求。

發明內容

本發明的主要目的在于提出一種金融應用的風險評估方法及裝置，旨在實現對移動金融應用進行綜合全面地評估，從而為移動金融應用應對數據泄露風險提供有效的參考。

為實現上述目的，本發明提供一種金融應用的風險評估方法，應用于移動終端，所述方法包括如下步驟：

獲取待評估的移動金融應用程序文件；

按照預設的風險評估項，對所述待評估的移動金融應用程序文件進行風險評估，所述風險評估項包括逆向風險評估、代碼風險評估和業務風險評估中的一個或多個；

綜合各個風險評估項的風險評估結果，得到所述待評估的移動金融應用程序文件的風險評估結果。

可選地，所述所述按照預設的風險評估項，對所述待評估的移動金融應用程序文件進行風險評估的步驟包括：

對所述待評估的移動金融應用程序文件分別進行防反編譯能力評估、防重打包能力評估、應用混淆評估和/或應用加固評估，得到逆向風險評估結果；

對所述待評估的移動金融應用程序文件分別進行日志風險評估、硬編碼風險評估、弱加密風險評估、數據庫風險評估、外部存儲風險評估和/或應用目錄風險評估，得到代碼風險評估結果；

對所述待評估的移動金融應用程序文件分別進行登錄、查詢、轉賬和支付環節的評估，得到業務風險評估結果。

可選地，所述對待評估的移動金融應用程序文件分別進行日志風險評估、硬編碼風險評估、弱加密風險評估、數據庫風險評估、外部存儲風險評估和/或應用目錄風險評估，得到代碼風險評估結果的步驟包括：

對所述待評估的移動金融應用程序文件進行反編譯，得到反編譯代碼；

分別掃描所述反編譯代碼中的日志風險、硬編碼風險、弱加密風險、數據庫風險、外部存儲風險和/或應用目錄風險；

根據掃描結果得到代碼風險評估結果。

可選地，所述對所述待評估的移動金融應用程序文件分別進行登錄、查詢、轉賬和支付環節的評估，得到業務風險評估結果的步驟包括：

在模擬器中運行所述待評估的移動金融應用程序文件；

監測所述待評估的移動金融應用程序文件在登錄、查詢、轉賬和支付環節的運行狀態；

根據所述運行狀態得到業務風險評估結果。

可選地，所述綜合各個風險評估項的風險評估結果，得到所述待評估的移動金融應用程序文件的風險評估結果的步驟之后，還包括：

根據所述待評估的移動金融應用程序文件的風險評估結果輸出相應的風險提示信息和修復建議信息。

此外，為實現上述目的，本發明還提供一種移動金融應用的風險評估裝置，應用于移動終端，所述裝置包括：

獲取模塊，用于獲取待評估的移動金融應用程序文件；

評估模塊，用于按照預設的風險評估項，對所述待評估的移動金融應用程序文件進行風險評估，所述風險評估項包括逆向風險評估、代碼風險評估和業務風險評估中的一個或多個；