多款手機銀行App存被惡意篡改的安全風險
責編:admin |2014-08-04 15:35:07最新數據顯示,我國手機網民已達5.27億。伴隨著移動支付的興起,越來越多的手機成為“第二錢包”。手機銀行客戶端與支付安全息息相關,然而這些涉及財產安全的手機軟件卻極易被盜版。360互聯網安全中心近日發布了《手機銀行客戶端安全性測評報告 (暨2014年中國移動支付安全報告第二期)》,該《報告》對工商銀行(601398,股吧)、建設銀行(601939,股吧)、招商銀行(600036,股吧)、交通銀行(601328,股吧)、中國銀行(601988,股吧)、農業銀行(601288,股吧)等國內16家主流銀行手機客戶端進行評測發現,銀行類手機App整體安全狀況堪憂,多款手機銀行App存在被惡意篡改的安全風險,個別App甚至有20個以上不同的盜版版本。
《報告》稱,在16款銀行客戶端的登錄機制安全性測評中,暴露了兩類比較嚴重的安全隱患:一是加密機制不完整或過于簡單,很容易被攻擊者劫持或破解。報告顯示,進行評測的手機銀行客戶端采用的均是“賬號密碼+短信驗證碼”的認證體系,但該體系在面對具有短信劫持功能的手機木馬攻擊時將不堪一擊。另一類是在通信過程中不對服務端身份進行校驗,導致登錄過程很容易被“中間人攻擊”所劫持。
安全中心評測發現,手機銀行有7項漏洞易被黑客利用,依次為:假冒銀行服務端,實施“中間人”攻擊;后臺記錄鍵盤位置,竊取密碼;惡意導出用戶界面,網銀賬戶信息“裸奔”;仿冒登錄界面,釣走賬號密碼;利用安卓系統漏洞,滲透網銀客戶端;二次打包制造盜版,主流客戶端難防御;短信劫持獲取驗證碼。
同時,據360互聯網安全中心數據統計顯示:本次測評的16款手機客戶端軟件中,除了一家銀行之外,其他銀行的手機網銀客戶端軟件均存在盜版現象,個別客戶端甚至有20個以上不同的盜版版本。總體而言,正版下載量越高的網銀App,盜版版本數也相對較多。“安卓作為開放平臺,攻擊者可以較容易地使用逆向分析工具,將銀行客戶端程序進行反編譯,并向反編譯結果中加入惡意代碼后,發布到一些審核不嚴格的第三方市場中。這些被二次打包發布的盜版銀行客戶端軟件,對用戶的支付安全造成了極其嚴重的安全威脅。”中國互聯網協會相關人士表示。
360手機安全專家提醒,防止盜版的一種方法是對手機銀行客戶端進行簽名校驗,但最穩妥的方法是進行加固處理,即使用手機安全軟件等第三方監測工具提升安全性。