iCard是保加利亚一款热门的手机钱包App,为30多个欧洲国家和地区提供银行卡管理、收付款、购物支付、国际转账、外币兑换等服务,已拥有超过12年行业经验和庞大的用户群体。因此,如何保障用户账户和资金安全,防范App在风险设备上受到的恶意攻击,一直是iCard关注的重点。
01、业务挑战
确保手机系统环境完整,对App安全运行、用户个人账户和财产安全都至关重要。iCard移动开发团队负责人Martin Dimitrov说道:“手机越狱或被root将大大改变操作系统及其安全等级,系统被篡改越多,手机越狱或root后,运行的合法App就越易受到威胁。”
如果用户没有意识到设备系统已被篡改,继续登录、使用App,那就很可能是将自己的账户和个人数据直接暴露在了风险中。然而,开发者和普通用户很难感知、检测手机系统的完整性。因此,iCard团队需要将App与设备商具备的检测能力相结合,从而评估App所运行设备是否存在风险。
02、解决方案
iCard团队在App中集成了HMS Core Safety Detect Kit 的系统完整性检测API,在用户登录时能够快速确认手机系统环境是否安全、未被恶意篡改。系统完整性检测是华为向开发者免费开放的检测服务,基于TEE(可信执行环境)级检测,检测结果不可篡改、可信度高,能够帮助应用快速构建安全能力,保护用户隐私及安全。
iCard移动开发团队负责人Martin Dimitrov说:“如果用户在被root的手机上登录iCard,集成了系统完整性检测能力的App就可以知道手机存在风险,然后在界面上弹出安全提示,使用户意识到,在风险设备上继续登录可能会导致经济损失、信息泄露。” 集成过程也很简单,仅1人/天的开发工作量即可完成接入。
Martin表示,“结合系统完整性检测能力后,我们的App安全性大大提升了,而且开发过程非常方便、高效。”
03、结果
iCard在root手机上的登录数减少了约10%
用户账户和资金更安全