首页 河北财经 河北资讯 河北娱乐 河北教育 纵深调查 证券股市 河北旅游 生活消费 房产家居 汽车资讯 滚动资讯 科技业界 专题报道
华北网 科技业界

16款手機銀行APP測評 賬號密碼短信驗證碼仍不保險

字号: 2014-07-24 14:06 来源:未知 点击

  CNNIC(中國互聯網絡信息中心)最新發布數據顯示,截至2014年6月,我國移動支付用戶規模達到2.05億,半年度增長率為63.4%,網民手機支付的使用比例已提升至38.9%。

  消費正在邁入移動支付時代,移動支付的安全性如何?昨天,360互聯網安全中心發布了《2014年第二期中國移動支付安全報告》,最重要的內容是對目前安卓平臺上使用率較高的16家銀行的16款手機客戶端的安全性做了一次專業測評。報告告訴我們:你正在使用的銀行手機客戶端沒那么安全。

  16家銀行的最新版APP

  安全性測評不過關

  “測試的版本都是網上能下載到的最新版的銀行手機客戶端。”360安全專家萬仁國告訴記者,測評的主要內容包括登錄機制安全性、鍵盤輸入安全性、Activity組件安全性、進程注入防護、反盜版能力和認證因素安全性這6個主要方面的8項具體測試,“是非常全面的一次安全性測評。”

  手機銀行客戶端作為網上支付的重要工具,其自身的安全性是網民賬戶、資金安全的基礎。結果記者在報告中看到,這16款最新版本的銀行手機客戶端僅個別APP在登錄、鍵盤輸入環節安全性較高,但在后面幾項關鍵性測評中所有APP都拿了零分。

  “為避免具體測試方法和銀行客戶端漏洞被人惡意利用,我們暫時不會公開每個銀行客戶端的具體測評結果及敏感試細節。”360互聯網安全中心相關負責人透露,秘密報告目前已經提交給了各家銀行,也會做后續跟進。

  在測評中拿分最高的是登錄環節,16款銀行手機客戶端中9款有加密機制,有13款進行服務器證書校驗。這是不是說明這些APP至少在登錄驗證環節還是安全的?

  “目前手機銀行客戶端軟件采用的多是‘賬號密碼+短信驗證碼’的認證體系,在面對具有短信劫持功能的手機木馬攻擊時,都顯得非常脆弱。”一位安全專家告訴記者,今年5月他們曾攔截到一款偽裝成銀行客戶端升級包的網銀支付木馬,表面看與銀行手機客戶端的登錄界面一模一樣,當用戶登錄時木馬就會提示“系統升級中請稍候”,實際上此時,木馬正在向一個“13178216427”的神秘號碼發送激活短信。

  然后,黑客使用控制號碼向感染木馬的手機發送一條短信,向銀行服務器請求一個授權碼。銀行服務器系統發送這樣一條短信,原本是要保證手機客戶端與特定號碼綁定。如果用戶在手機銀行客端中正確輸入了這個授權(有些軟件會自動檢測授權碼短信),那么以后服務系統再發送消費通知、驗證碼等信息就會都發送到這個被綁定的手機號上。但這種驗證方式安全性前提是必須保證授權短信只有使用該手機號碼戶能夠看到。如被攔截案例中這樣,木馬程序會竊取并劫持授權短信的話,那就十分危險了——這意味著你收到的短信,黑客也能看到。

  “后來我們查到這是一個福建泉州的聯通手機號。”這位安全專家直言,雖然已經有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統,但這些系統的使用不是強制性的,絕大多數用戶仍在使用“賬號密碼+短信驗證碼”的認證方式。

  更可怕的是,一款惡意程序甚至可以同時監測、仿冒和劫持多個銀行客戶端的登錄界面。報告測評結果顯示,在16款手機銀行客戶端軟件中,沒有任何一款客戶端能單獨解決這類問題。

  你用的APP輸入鍵會變嗎

  自繪隨機鍵盤更安全些

  16款下載最多、使用最廣的銀行手機客戶端都有安全漏洞,普通用戶如何來分辨呢?對普通用戶來說,你只能選擇使用或不使用,卻無法保證自己使用的銀行手機客戶端足夠安全。

  “鍵盤輸入安全性較高的是自繪隨機鍵盤,這個比較容易判斷,打開銀行客戶端輸入密碼時,每次彈出來的鍵盤都不一樣的就是自繪隨機鍵盤。”360安全專家萬仁國說,除了銀行外,像證券等行業應用也會使用自繪隨機鍵盤,“自繪隨機鍵盤的使用肯定會增加客戶端的開發成本,但在被評測的16款銀行客戶端中使用率不高不一定是成本原因,也有可能是設計人員沒有考慮到,但判斷一個銀行客戶端的安全性高低不僅僅從密碼輸入判斷,還需要整體分析。”

  事實上,提高銀行手機客戶端的安全還不夠,因為手機系統本身也有漏洞,很容易被攻擊,網民手機支付的使用比例正在以每年20%左右的速度增加,移動支付的安全問題需要引起更多關注了。

顶一下
(0)
0%
踩一下
(0)
0%

排行榜