金融界首页 > 保险频道 > 理财观察 >第182期:银行类手机客户端安全堪忧

观理财万象 察事件真相

银行类手机客户端 安全堪忧

  当您正在用手机银行客户端进行交易的时候,是否想过,这安全吗?昨日,360手机安全中心发布国内首份《手机银行客户端安全性测评报告》,该报告针对工商银行、建设银行、招商银行、交通银行、中国银行、农业银行等中国16家主流银行的安卓手机客户端展开一次最全面的安全性评测。然而从登录客户端这第一步起,就很容易被“中间人攻击”所劫持了。这种安全漏洞,就很有可能被电脑黑客或木马病毒所利用,造成网民银行账户信息泄漏和直接财产损失。【往期回顾

理财观察

登录阶段已有漏洞

登录阶段已有漏洞

16家银行手机APP 无一能抵攻击

针对当前世面上最流行的16家银行的手机银行客户端应用进行全面的安全性测评。结果显示,在防范进程注入测试(利用安卓系统漏洞对应用恶意注入)中,所有16款手机银行客户端,没有任何一款银行客户端能够对这类攻击进行防护。[详细]

多款银行手机APP在登录阶段即存严重安全隐患

登录作为用户使用手机银行客户端的第一步,由于要输入银行账号及密码等敏感信息,安全性尤为重要。在对16款银行客户端的登录机制安全性进行测评的过程中,安全专家发现了两类比较严重的安全隐患:一类是加密机制不完整或过于简单,很容易被攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验,从而导致登录过程很容易被“中间人攻击”所劫持。其中,有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式,极易被劫持或破解。

而不论银行客户端使用的是何种登录加密机制,如果客户端在登录过程中不对服务端的身份(证书)进行校验,就有可能“信任”伪装身份的“冒牌服务端”,连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。这种假冒服务端身份的攻击也被称为“中间人攻击”。在测评的16款银行客户端中,共有3款银行客户端(均使用HTTPS加密机制)存在忽略服务端证书校验安全漏洞。[详细]

手机银行的认证因素存在一定的安全隐患

16款手机银行客户端软件采用的均是“账号密码+短信验证码”的伪双因素认证体系。这种认证体系在面对具有短信劫持功能的手机木马攻击时显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。[详细]

自绘随机键盘也不安全 部分手机竟能导致系统崩溃

虽然多数手机银行客户端使用了自绘键盘,但自绘随机键盘并未被广泛使用,而且还有2款客户端使用了系统默认的输入法,存在重大的安全隐患。如果手机银行客户端被注入恶意模块,或者系统模块被恶意代码感染等极端恶劣的环境下,攻击者可以直接获取密码明文。

手机银行客户端使用最多的安卓组件是Activity(Activity为安卓系统的一个提供给用户屏幕交互的应用程序组件),360手机安全中心对其做了专项安全性测试,在防范Activity劫持,防止进程注入,反盗版/防二次打包,以及防止验证短信被劫持等方面,所有16款被检测的手机银行客户端的表现均不佳。其中,有1款客户端存在严重的Activity导出风险,另有2款客户端存在Activity导出错误可至系统崩溃的问题。[详细]

理财观察

银行类手机APP极易被盗版山寨

15款网银客户端遭遇盗版”

15款网银客户端遭遇盗版

正版下载量越高的网银App,盗版版本数也相对较多,个别客户端甚至有20个以上的盗版版本。同时报告还称,16款手机银行客户端采用的均是“账号密码+短信验证码”的认证体系,但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。[详细]

黑客加入恶意代码 二次打包发布盗版银行客户端

安卓作为开放平台,攻击者可以较容易的使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中后,发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成了极其严重的安全威胁。

分析显示,本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包,虽然一些客户端对自身签名进行了校验,但也很容易在重打包过程中被攻击者轻易篡改,起不到防止二次打包的作用。[详细]

理财观察

安卓系统安全问题一直以来被业界所诟病

安卓系统和Linux内核漏洞影响更广

安卓系统和Linux内核漏洞影响更广

“相比于单个应用程序的漏洞,恶意程序利用内核漏洞可以攻击不同厂商生产的多种机型。”恶意程序的制作者往往倾向于使用系统内核漏洞进行攻击。但实际上,对开源的安卓系统而言,由手机厂商在源码基础上再开发所引入的漏洞往往更多!

70%的手机安全漏洞是由厂商定制所引起的

根据360手机安全中心在2013年的一项研究显示,70%的手机安全漏洞是由厂商定制所引起的。一些中小手机厂商对此并不重视,甚至没有能力修补自身系统中存在的安全漏洞。

由于这些漏洞得不到及时修复,木马程序有机会借助这些漏洞提升root权限,完成对银行客户端的注入。一旦木马注入到客户端进程中,将可轻而易举的获取用户账号和密码,造成网民银行账户信息泄漏和直接财产损失。[详细]

结束语

手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。对手机上官方版本的手机银行客户端,你放心吗?

曝光关键词

山寨App

多指使用与热门App相似名称和图标的仿制应用软件。山寨App主要分非恶意的和恶意的两类。前者主要是借热门App的

人气推销自己的产品,一定程度上分流了正版App的用户群体,给App开发商造成损失。后者则暗藏恶意代码或木马,直接威胁手机用户的个人隐私和账户安全。

安卓手机

安卓(Android)是一个基于Linux内核的操作系统,是Google公司在2007年11月5日公布的手机

操作系统,不是手机,不过有很多手机采用安卓系统。安卓系统是一款手机系统,现在流行的主流的手机系统之一。手机系统有,java,塞班等,类似于电脑的windows2000系统、windowsVista系统等,这款系统常用在HTC的手机上,属于智能系统。

    安卓手机助手是由网龙公司推出的第三方智能手机软件,手机助手安卓版是全球唯一一款全面支持 Windows Mobile、iPhone、Android、Symbian S60、Wince五大智能手机系统的PC端管理软件。

小知识

手机银行

移动银行(Mobile Banking Service)也可称为手机银行,是利用移动通信网络及终端办理相

关银行业务的简称。作为一种结合了货币电子化与移动通信的崭新服务,移动银行业务不仅可以使人们在任何时间、任何地点处理多种金融业务,而且极大地丰富了银行服务的内涵,使银行能以便利、高效而又较为安全的方式为客户提供传统和创新的服务。

    手机银行是网络银行的派生产品之一,它的优越性集中体现在便利性上,客户利用手机银行不论何时何地均能及时交易,节省了ATM机和银行窗口排队等候的时间。

    随着多年业务的推广,炒股热、转存热,手机银行、手机支付或者手机证券已经为广大用户所熟悉并接受。无论对于通信业还是银行业,这种“贴身金融管家”的方式为用户提供了“随时随地”、“各种方式”、满足“各种需求”的移动电子商务业务。

网友调查

手机达人教你安全防范

  对于山寨App的情况,手机达人阿林表示,自己从不在第三方手机市场上下载银行类App,“只要不破解系统、在官方市场下载,再配合安全软件,安卓手机的安全性也没那么糟糕。”

如何辨别和规避山寨App

  最保险的方法是到开发者的官网上去寻找客户端下载,特别是网购、手机银行一类的消费支付App。其次,如果要下载一些游戏、娱乐类的App,而对方并没有官网,这时可在一些信誉比较好的移动应用市场里下载。下载前最好留心软件开放商的名称,因为有些山寨的东西光从开发商的名称就可以看出端倪。

专题信息

网友评论

往期回顾