收藏本页 | 设为主页 | 随便看看 | 手机版
710

邯郸汇通电脑科技有限公司

邯郸电脑产品渠道商 邯郸IT产品专业供货商

网站公告
公司新增鼠标垫生产基地,邯郸规模最大最专业的广告鼠标垫生产厂,为您定制各种规格广告鼠标垫。汇通电脑公司主营:笔记本渠道,邯郸组装电脑批发、邯郸电脑配件渠道、邯郸网络产品批发、邯郸电脑外设批发,承接网络工程、监控安防工程。我们将以最优质的产品和最完美的服务为合作起点,愿与各位伙伴共赢市场。联系电话:0310-3202004 0310-7500636 15131056636 18630058705
产品分类
联系方式
  • 联系人:武晓亮
  • 电话:0310-7500636
  • 邮件:admin@hditw.com
  • 手机:15131056636
  • 传真:0310-3202004
您当前的位置:首页 » 新闻资讯 » 360测评16大手机银行APP:账号密码+短信验证仍不保险
新闻资讯
360测评16大手机银行APP:账号密码+短信验证仍不保险
发布时间:2014-07-25        浏览次数:321        返回列表

CNNIC(中国互联网络信息中心)最新发布数据显示,截至2014年6月,我国移动支付用户规模达到2.05亿,半年度增长率为63.4%,网民手机支付的使用比例已提升至38.9%。

 

消费正在迈入移动支付时代,移动支付的安全性如何?昨天,360互联网安全中心发布了《2014年第二期中国移动支付安全报告》,最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们:你正在使用的银行手机客户端没那么安全。

16家银行的最新版APP

安全性测评不过关

“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国告诉记者,测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试,“是非常全面的一次安全性测评。”

手机银行客户端作为网上支付的重要工具, 其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到,这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高,但在后面几项关键性测评中所有APP都拿了零分。

“为避免具体测试方法和银行客户端漏洞被人恶意利用,我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露,秘密报告目前已经提交给了各家银行,也会做后续跟进。

在测评中拿分最高的是登录环节,16款银行手机客户端中9款有加密机制,有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的?

“目前手机银行客户端软件采用的多是‘账号密码短信验证码’的认证体系,在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。”一位安全专家告诉记者,今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马,表面看与银行手机客户端的登录界面一模一样,当用户登录时木马就会提示“系统升级中请稍候”,实际上此时,木马正在向一个“13178216427”的神秘号码发送激活短信。

然后,黑客使用控制号码向感染木马的手机发送一条短信, 向银行服务器请求一个授权码。银行服务器系统发送这样一条短信,原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权(有些软件会自动检测授权码短信),那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样,木马程序会窃取并劫持授权短信的话,那就十分危险了——这意味着你收到的短信,黑客也能看到。

 

“后来我们查到这是一个福建泉州的联通手机号。”这位安全专家直言,虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“账号密码短信验证码”的认证方式。

更可怕的是,一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示,在16款手机银行客户端软件中,没有任何一款客户端能单独解决这类问题。

你用的APP输入键会变吗

自绘随机键盘更安全些

16款下载最多、使用最广的银行手机客户端都有安全漏洞,普通用户如何来分辨呢?对普通用户来说,你只能选择使用或不使用,却无法保证自己使用的银行手机客户端足够安全。

“键盘输入安全性较高的是自绘随机键盘,这个比较容易判断,打开银行客户端输入密码时,每次弹出来的键盘都不一样的就是自绘随机键盘。”360 安全专家万仁国说,除了银行外,像证券等行业应用也会使用自绘随机键盘,“自绘随机键盘的使用肯定会增加客户端的开发成本,但在被评测的16款银行客户端中使用率不高不一定是成本原因,也有可能是设计人员没有考虑到,但判断一个银行客户端的安全性高低不仅仅从密码输入判断,还需要整体分析。”

事实上,提高银行手机客户端的安全还不够,因为手机系统本身也有漏洞,很容易被攻击,网民手机支付的使用比例正在以每年20%左右的速度增加,移动支付的安全问题需要引起更多关注了。