压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　隨著移動(dòng)支付的普及，手機(jī)銀行客戶端越來(lái)越被用戶所認(rèn)可，很多人覺(jué)得，既然是銀行的客戶端，應(yīng)該是非常安全的。然而，事實(shí)并非如此。據(jù)了解，少數(shù)手機(jī)銀行客戶端存在加密機(jī)制不完整、不校驗(yàn)服務(wù)器身份等安全隱患。不僅如此，我們一直認(rèn)為最安全的“隨機(jī)鍵盤輸入密碼”也存在不安全的問(wèn)題。總體而言，銀行類手機(jī)APP安全狀況整體堪憂。

　　手機(jī)銀行安全性整體堪憂

　　作為與支付安全息息相關(guān)的環(huán)節(jié)，手機(jī)銀行也存在不小的安全隱患。日前，360手機(jī)安全中心發(fā)布國(guó)內(nèi)首份針對(duì)16家主流銀行手機(jī)客戶端（APP）的評(píng)測(cè)報(bào)告——《手機(jī)銀行客戶端安全性測(cè)評(píng)報(bào)告》。經(jīng)測(cè)試發(fā)現(xiàn)，少數(shù)手機(jī)銀行客戶端存在加密機(jī)制不完整，不校驗(yàn)服務(wù)器身份等安全隱患。在防范Activity劫持（Activity為安卓系統(tǒng)的一個(gè)提供給用戶屏幕交互的應(yīng)用程序組件）、防止進(jìn)程注入、反盜版/防二次打包以及防止驗(yàn)證短信被劫持等方面，所有16款被檢測(cè)的手機(jī)銀行客戶端均表現(xiàn)不佳。報(bào)告指出，受到安卓系統(tǒng)的體系限制，很多支付安全性問(wèn)題難以靠手機(jī)銀行客戶端軟件單獨(dú)解決，銀行類手機(jī)APP整體安全狀況堪憂。

　　手機(jī)銀行客戶端作為網(wǎng)上支付的重要工具，其自身的安全性是網(wǎng)民賬戶、資金安全的基礎(chǔ)。如果手機(jī)銀行客戶端存在安全隱患甚至是安全漏洞，就很有可能被電腦黑客或木馬病毒所利用，造成網(wǎng)民銀行賬戶信息泄露和直接財(cái)產(chǎn)損失。

　　報(bào)告針對(duì)工商銀行、建設(shè)銀行、招商銀行、交通銀行、中國(guó)銀行、農(nóng)業(yè)銀行等中國(guó)16家主流銀行的安卓手機(jī)客戶端展開(kāi)一次最全面的安全性評(píng)測(cè)。測(cè)試的主要內(nèi)容包括：登錄機(jī)制安全性、鍵盤輸入安全性、Activity組件安全性、進(jìn)程注入防護(hù)、反盜版能力和認(rèn)證因素安全性的六個(gè)主要方面的八項(xiàng)具體測(cè)試。

　　不校驗(yàn)身份或被“攻擊”

　　作為用戶使用手機(jī)銀行客戶端的第一步，登錄時(shí)因?yàn)橐斎脬y行賬號(hào)及密碼等敏感信息，安全性尤為重要。在對(duì)16款銀行客戶端的登錄機(jī)制安全性進(jìn)行測(cè)評(píng)的過(guò)程中，手機(jī)安全專家發(fā)現(xiàn)了兩類比較嚴(yán)重的安全隱患：一類是加密機(jī)制不完整或過(guò)于簡(jiǎn)單，很容易被攻擊者劫持或破解；另一類是在通信過(guò)程中不對(duì)服務(wù)端身份進(jìn)行校驗(yàn)，從而導(dǎo)致登錄過(guò)程很容易被“中間人攻擊”所劫持。其中，有兩款手機(jī)網(wǎng)銀客戶端采用了“HTTP+簡(jiǎn)單加密”的數(shù)據(jù)傳輸方式，極易被劫持或破解。

　　而不論銀行客戶端使用的是何種登錄加密機(jī)制，如果客戶端在登錄過(guò)程中不對(duì)服務(wù)端的身份（證書(shū)）進(jìn)行校驗(yàn)，就有可能“信任”偽裝身份的“冒牌服務(wù)端”，連接到假冒的銀行服務(wù)端上，從而導(dǎo)致用戶名、密碼等信息被竊取。這種假冒服務(wù)端身份的攻擊也被稱為“中間人攻擊”。在測(cè)評(píng)的16款銀行客戶端中，共有3款銀行客戶端（均使用HTTPS加密機(jī)制）存在忽略服務(wù)端證書(shū)校驗(yàn)安全漏洞。

　　自繪隨機(jī)鍵盤并非絕對(duì)安全

　　在鍵盤輸入安全性測(cè)試中，安全專家發(fā)現(xiàn)，雖然多數(shù)手機(jī)銀行客戶端使用了自繪鍵盤，但自繪隨機(jī)鍵盤并未被廣泛使用。而且還有2款客戶端使用了系統(tǒng)默認(rèn)的輸入法，存在重大的安全隱患。不過(guò)，手機(jī)安全專家也指出，使用自繪隨機(jī)鍵盤，雖然能大大提高安全性和黑客攻擊的難度，但也并不是萬(wàn)無(wú)一失的。如果手機(jī)銀行客戶端被注入了惡意模塊，或者系統(tǒng)模塊被惡意代碼感染等極端惡劣的環(huán)境下，攻擊者可以通過(guò)Hook直接獲取到密碼明文。

　　手機(jī)銀行客戶端使用最多的安卓組件是Activity，360手機(jī)安全中心對(duì)其做了專項(xiàng)安全性測(cè)試，在防范Activity劫持、防止進(jìn)程注入、反盜版/防二次打包，以及防止驗(yàn)證短信被劫持等方面，所有16款被檢測(cè)的手機(jī)銀行客戶端的表現(xiàn)均不佳。其中，有1款客戶端存在嚴(yán)重的Activity導(dǎo)出風(fēng)險(xiǎn)，另有2款客戶端存在Activity導(dǎo)出錯(cuò)誤可至系統(tǒng)崩潰的問(wèn)題。

　　銀行類APP極易被山寨

　　安卓作為開(kāi)放平臺(tái)，攻擊者可以較容易地使用逆向分析工具，將銀行客戶端程序進(jìn)行反編譯，并向反編譯結(jié)果中加入惡意代碼后，發(fā)布到一些審核不嚴(yán)格的第三方市場(chǎng)中。這些被二次打包發(fā)布的盜版銀行客戶端軟件，對(duì)用戶的支付安全造成了極其嚴(yán)重的安全威脅。

　　分析顯示，本次測(cè)評(píng)的16款手機(jī)銀行客戶端均未能完全有效地防范逆向分析和二次打包，雖然一些客戶端對(duì)自身簽名進(jìn)行了校驗(yàn)，但也很容易在重打包過(guò)程中被攻擊者輕易篡改，起不到防止二次打包的作用。

　　測(cè)試中還發(fā)現(xiàn)，手機(jī)銀行的認(rèn)證因素存在一定的安全隱患，16款手機(jī)銀行客戶端軟件采用的均是“賬號(hào)密碼+短信驗(yàn)證碼”的偽雙因素認(rèn)證體系。這種認(rèn)證體系在面對(duì)具有短信劫持功能的手機(jī)木馬攻擊時(shí)，都顯得非常脆弱。雖然已經(jīng)有部分銀行開(kāi)始推廣音頻盾、藍(lán)牙盾等雙因素認(rèn)證系統(tǒng)，但這些系統(tǒng)的使用不是強(qiáng)制性的，絕大多數(shù)用戶仍在使用“賬號(hào)密碼+短信驗(yàn)證碼”的認(rèn)證方式。

　　結(jié)合安全軟件使用“保平安”

　　繼銀行卡支付，網(wǎng)上支付（PC端）之后，中國(guó)消費(fèi)者已經(jīng)快速進(jìn)入了移動(dòng)支付時(shí)代。據(jù)CNNIC發(fā)布的《第33次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示：截至2013年12月，我國(guó)手機(jī)網(wǎng)民規(guī)模達(dá)5億，較2012年底增加8009萬(wàn)人；手機(jī)支付用戶規(guī)模達(dá)到1.25億，同比增長(zhǎng)了126.9%，占手機(jī)網(wǎng)民總量的25.1%。可見(jiàn)，手機(jī)支付用戶的增長(zhǎng)速度遠(yuǎn)遠(yuǎn)高于手機(jī)網(wǎng)民規(guī)模的增長(zhǎng)速度。移動(dòng)支付的時(shí)代已經(jīng)到來(lái)，但安全上的隱患和威脅同樣被放大。

　　針對(duì)移動(dòng)支付面臨的種種安全威脅，不少互聯(lián)網(wǎng)安全企業(yè)也與銀行展開(kāi)了安全服務(wù)合作，為手機(jī)銀行客戶端提供獨(dú)立的移動(dòng)支付安全模塊定制服務(wù)，該模塊被集成到手機(jī)銀行客戶端中，從而全面提升手機(jī)銀行客戶端的安全性。

　　手機(jī)安全專家指出，目前手機(jī)銀行客戶端有眾多安全隱患未能解決，對(duì)用戶來(lái)說(shuō)，盡量將其與手機(jī)安全軟件結(jié)合使用，以保財(cái)產(chǎn)的安全。

　　手機(jī)支付病毒暴增

　　騰訊移動(dòng)安全實(shí)驗(yàn)室日前發(fā)布了《2014年上半年手機(jī)安全報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。報(bào)告顯示，Android手機(jī)病毒在經(jīng)歷了2012—2013年幾何式高速增長(zhǎng)之后，在2014年上半年逐步趨于平緩，同比增長(zhǎng)7.9%。其中，手機(jī)支付類病毒進(jìn)一步蔓延，上半年感染手機(jī)支付類病毒用戶數(shù)達(dá)到693.4萬(wàn)，其中可攔截并轉(zhuǎn)發(fā)用戶支付短信驗(yàn)證碼的手機(jī)病毒大規(guī)模增加，支付類病毒呈現(xiàn)出多種特征融合化發(fā)展的趨勢(shì)。值得注意的是，隨著二維碼的流行，目前已成為增長(zhǎng)最快的染毒渠道，通過(guò)二維碼傳播的病毒傳播比例已達(dá)到9%。

　　此外，隨著《中國(guó)好聲音》第三季的開(kāi)播，瑞星“云安全”系統(tǒng)監(jiān)測(cè)到了大量仿冒《中國(guó)好聲音》的中獎(jiǎng)?lì)愥烎~(yú)網(wǎng)站。瑞星安全專家表示，以熱播綜藝節(jié)目的名義謊稱中獎(jiǎng)，制作釣魚(yú)網(wǎng)站，是黑客的常用伎倆，一旦網(wǎng)民按照網(wǎng)站上的電話與之聯(lián)系，騙子就會(huì)以“稅金”、“快遞費(fèi)”、“保證金”等名目要求網(wǎng)民向其打款，導(dǎo)致用戶錢財(cái)一起不復(fù)返。