手機銀行客戶端存安全隱患 APP安全狀況堪憂
責編:admin |2014-08-01 13:59:24隨著移動支付的普及,手機銀行客戶端越來越被用戶所認可,很多人覺得,既然是銀行的客戶端,應該是非常安全的。然而,事實并非如此。據了解,少數手機銀行客戶端存在加密機制不完整、不校驗服務器身份等安全隱患。不僅如此,我們一直認為最安全的“隨機鍵盤輸入密碼”也存在不安全的問題。總體而言,銀行類手機APP安全狀況整體堪憂。
手機銀行安全性整體堪憂
作為與支付安全息息相關的環節,手機銀行也存在不小的安全隱患。日前,360手機安全中心發布國內首份針對16家主流銀行手機客戶端(APP)的評測報告——《手機銀行客戶端安全性測評報告》。經測試發現,少數手機銀行客戶端存在加密機制不完整,不校驗服務器身份等安全隱患。在防范Activity劫持(Activity為安卓系統的一個提供給用戶屏幕交互的應用程序組件)、防止進程注入、反盜版/防二次打包以及防止驗證短信被劫持等方面,所有16款被檢測的手機銀行客戶端均表現不佳。報告指出,受到安卓系統的體系限制,很多支付安全性問題難以靠手機銀行客戶端軟件單獨解決,銀行類手機APP整體安全狀況堪憂。
手機銀行客戶端作為網上支付的重要工具,其自身的安全性是網民賬戶、資金安全的基礎。如果手機銀行客戶端存在安全隱患甚至是安全漏洞,就很有可能被電腦黑客或木馬病毒所利用,造成網民銀行賬戶信息泄露和直接財產損失。
報告針對工商銀行、建設銀行、招商銀行、交通銀行、中國銀行、農業銀行等中國16家主流銀行的安卓手機客戶端展開一次最全面的安全性評測。測試的主要內容包括:登錄機制安全性、鍵盤輸入安全性、Activity組件安全性、進程注入防護、反盜版能力和認證因素安全性的六個主要方面的八項具體測試。
不校驗身份或被“攻擊”
作為用戶使用手機銀行客戶端的第一步,登錄時因為要輸入銀行賬號及密碼等敏感信息,安全性尤為重要。在對16款銀行客戶端的登錄機制安全性進行測評的過程中,手機安全專家發現了兩類比較嚴重的安全隱患:一類是加密機制不完整或過于簡單,很容易被攻擊者劫持或破解;另一類是在通信過程中不對服務端身份進行校驗,從而導致登錄過程很容易被“中間人攻擊”所劫持。其中,有兩款手機網銀客戶端采用了“HTTP+簡單加密”的數據傳輸方式,極易被劫持或破解。
而不論銀行客戶端使用的是何種登錄加密機制,如果客戶端在登錄過程中不對服務端的身份(證書)進行校驗,就有可能“信任”偽裝身份的“冒牌服務端”,連接到假冒的銀行服務端上,從而導致用戶名、密碼等信息被竊取。這種假冒服務端身份的攻擊也被稱為“中間人攻擊”。在測評的16款銀行客戶端中,共有3款銀行客戶端(均使用HTTPS加密機制)存在忽略服務端證書校驗安全漏洞。
自繪隨機鍵盤并非絕對安全
在鍵盤輸入安全性測試中,安全專家發現,雖然多數手機銀行客戶端使用了自繪鍵盤,但自繪隨機鍵盤并未被廣泛使用。而且還有2款客戶端使用了系統默認的輸入法,存在重大的安全隱患。不過,手機安全專家也指出,使用自繪隨機鍵盤,雖然能大大提高安全性和黑客攻擊的難度,但也并不是萬無一失的。如果手機銀行客戶端被注入了惡意模塊,或者系統模塊被惡意代碼感染等極端惡劣的環境下,攻擊者可以通過Hook直接獲取到密碼明文。
手機銀行客戶端使用最多的安卓組件是Activity,360手機安全中心對其做了專項安全性測試,在防范Activity劫持、防止進程注入、反盜版/防二次打包,以及防止驗證短信被劫持等方面,所有16款被檢測的手機銀行客戶端的表現均不佳。其中,有1款客戶端存在嚴重的Activity導出風險,另有2款客戶端存在Activity導出錯誤可至系統崩潰的問題。
銀行類APP極易被山寨
安卓作為開放平臺,攻擊者可以較容易地使用逆向分析工具,將銀行客戶端程序進行反編譯,并向反編譯結果中加入惡意代碼后,發布到一些審核不嚴格的第三方市場中。這些被二次打包發布的盜版銀行客戶端軟件,對用戶的支付安全造成了極其嚴重的安全威脅。
分析顯示,本次測評的16款手機銀行客戶端均未能完全有效地防范逆向分析和二次打包,雖然一些客戶端對自身簽名進行了校驗,但也很容易在重打包過程中被攻擊者輕易篡改,起不到防止二次打包的作用。
測試中還發現,手機銀行的認證因素存在一定的安全隱患,16款手機銀行客戶端軟件采用的均是“賬號密碼+短信驗證碼”的偽雙因素認證體系。這種認證體系在面對具有短信劫持功能的手機木馬攻擊時,都顯得非常脆弱。雖然已經有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統,但這些系統的使用不是強制性的,絕大多數用戶仍在使用“賬號密碼+短信驗證碼”的認證方式。
結合安全軟件使用“保平安”
繼銀行卡支付,網上支付(PC端)之后,中國消費者已經快速進入了移動支付時代。據CNNIC發布的《第33次中國互聯網絡發展狀況統計報告》數據顯示:截至2013年12月,我國手機網民規模達5億,較2012年底增加8009萬人;手機支付用戶規模達到1.25億,同比增長了126.9%,占手機網民總量的25.1%。可見,手機支付用戶的增長速度遠遠高于手機網民規模的增長速度。移動支付的時代已經到來,但安全上的隱患和威脅同樣被放大。
針對移動支付面臨的種種安全威脅,不少互聯網安全企業也與銀行展開了安全服務合作,為手機銀行客戶端提供獨立的移動支付安全模塊定制服務,該模塊被集成到手機銀行客戶端中,從而全面提升手機銀行客戶端的安全性。
手機安全專家指出,目前手機銀行客戶端有眾多安全隱患未能解決,對用戶來說,盡量將其與手機安全軟件結合使用,以保財產的安全。
手機支付病毒暴增
騰訊移動安全實驗室日前發布了《2014年上半年手機安全報告》(以下簡稱“報告”)。報告顯示,Android手機病毒在經歷了2012—2013年幾何式高速增長之后,在2014年上半年逐步趨于平緩,同比增長7.9%。其中,手機支付類病毒進一步蔓延,上半年感染手機支付類病毒用戶數達到693.4萬,其中可攔截并轉發用戶支付短信驗證碼的手機病毒大規模增加,支付類病毒呈現出多種特征融合化發展的趨勢。值得注意的是,隨著二維碼的流行,目前已成為增長最快的染毒渠道,通過二維碼傳播的病毒傳播比例已達到9%。
此外,隨著《中國好聲音》第三季的開播,瑞星“云安全”系統監測到了大量仿冒《中國好聲音》的中獎類釣魚網站。瑞星安全專家表示,以熱播綜藝節目的名義謊稱中獎,制作釣魚網站,是黑客的常用伎倆,一旦網民按照網站上的電話與之聯系,騙子就會以“稅金”、“快遞費”、“保證金”等名目要求網民向其打款,導致用戶錢財一起不復返