報告:黑客可借漏洞攻擊手機銀行客戶端
責編:admin |2014-07-23 13:38:32安卓系統安全問題一直以來被業界所詬病。近日有安全報告指出,安卓手機系統漏洞嚴重威脅網民支付安全。利用安卓系統漏洞,黑客可以對手機銀行客戶端實施注入攻擊,截獲用戶銀行賬號密碼,造成財產損失。進行測試的16款手機銀行客戶端均未能防御此類攻擊。
據中國互聯網絡信息中心(CNNIC)的數據顯示,由于中國手機支付用戶規模成倍增長(同比增長126.9%),截止2013年12月已達1.25億,移動支付成為大趨勢。而伴隨這一趨勢產生的移動支付安全問題也“水漲船高”。近年來,由于遭受木馬、惡意插件等惡意程序入侵導致的網銀、支付賬戶被盜案件頻頻發生,網民移動支付安全受到嚴重威脅。
為了檢驗手機銀行客戶端的安全性,本次報告針對當前世面上最流行的16家銀行的手機銀行客戶端應用進行了一次全面的安全性測評。結果顯示,在防范進程注入測試(利用安卓系統漏洞對應用惡意注入)中,所有16款手機銀行客戶端的表現不佳,沒有任何一款銀行客戶端能夠對這類攻擊進行防護。
“相比于單個應用程序的漏洞,安卓系統和Linux內核的漏洞往往影響更加廣泛,惡意程序利用內核漏洞可以攻擊不同廠商生產的多種機型。”安全專家指出,惡意程序的制作者往往傾向于使用系統內核漏洞進行攻擊。但實際上,對開源的安卓系統而言,由手機廠商在源碼基礎上再開發所引入的漏洞往往更多。
根據在2013年的一項研究顯示,70%的手機安全漏洞是由廠商定制所引起的。一些中小手機廠商對此并不重視,甚至沒有能力修補自身系統中存在的安全漏洞。
由于這些漏洞得不到及時修復,木馬程序有機會借助這些漏洞提升root權限,完成對銀行客戶端的注入。一旦木馬注入到客戶端進程中,將可輕而易舉的獲取用戶賬號和密碼,造成網民銀行賬戶信息泄漏和直接財產損失。