多款手机银行App存被恶意篡改的安全风险

  最新数据显示,我国手机网民已达5.27亿。伴随着移动支付的兴起,越来越多的手机成为“第二钱包”。手机银行客户端与支付安全息息相关,然而这些涉及财产安全的手机软件却极易被盗版。360互联网安全中心近日发布了《手机银行客户端安全性测评报告 (暨2014年中国移动支付安全报告第二期)》,该《报告》对工商银行(601398,股吧)、建设银行(601939,股吧)、招商银行(600036,股吧)、交通银行(601328,股吧)、中国银行(601988,股吧)、农业银行(601288,股吧)等国内16家主流银行手机客户端进行评测发现,银行类手机App整体安全状况堪忧,多款手机银行App存在被恶意篡改的安全风险,个别App甚至有20个以上不同的盗版版本。

  《报告》称,在16款银行客户端的登录机制安全性测评中,暴露了两类比较严重的安全隐患:一是加密机制不完整或过于简单,很容易被攻击者劫持或破解。报告显示,进行评测的手机银行客户端采用的均是“账号密码+短信验证码”的认证体系,但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。另一类是在通信过程中不对服务端身份进行校验,导致登录过程很容易被“中间人攻击”所劫持。

  安全中心评测发现,手机银行有7项漏洞易被黑客利用,依次为:假冒银行服务端,实施“中间人”攻击;后台记录键盘位置,窃取密码;恶意导出用户界面,网银账户信息“裸奔”;仿冒登录界面,钓走账号密码;利用安卓系统漏洞,渗透网银客户端;二次打包制造盗版,主流客户端难防御;短信劫持获取验证码。

  同时,据360互联网安全中心数据统计显示:本次测评的16款手机客户端软件中,除了一家银行之外,其他银行的手机网银客户端软件均存在盗版现象,个别客户端甚至有20个以上不同的盗版版本。总体而言,正版下载量越高的网银App,盗版版本数也相对较多。“安卓作为开放平台,攻击者可以较容易地使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码后,发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成了极其严重的安全威胁。”中国互联网协会相关人士表示。

  360手机安全专家提醒,防止盗版的一种方法是对手机银行客户端进行签名校验,但最稳妥的方法是进行加固处理,即使用手机安全软件等第三方监测工具提升安全性。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:赛门铁克、卡巴斯基被内地列入禁用安全软件名单