手机银行安全吗 手机银行APP不安全
投资理财我们的记者胡晓静
手机银行方便,但也容易被“钓鱼”。360移动卫士发布的首个国内手机银行客户评估报告显示,包括工行、建行、招商银行、交通银行、中国银行、农业银行在内的优质银行最新16款手机应用表现均不佳。特别是手机银行的少数Android客户端存在加密机制不全、服务器身份无法验证等安全隐患,可能被电脑黑客或木马病毒利用。
登录阶段存在危险
登录是用户使用手机银行客户端的第一步,因为需要输入银行账号、密码等敏感信息,所以安全性尤为重要。但本次评估发现,两类登录安全隐患明显:一类是加密机制不完整或过于简单,容易被攻击者劫持或破解;另一种是在通信过程中没有验证服务器的身份,导致登录过程中出现“中间人攻击”。其中有两个手机网银应用是以“HTTp+简单加密”的方式传输的,很容易被劫持或破解。
据悉,仿冒、钓鱼等恶意程序很可能会采用这样一种技术:后台监控前台窗口的操作,如果前台是银行应用的登录界面,恶意程序会立即启动自己的仿冒界面,速度可以快到让用户毫无知觉。一旦用户在不知道的情况下在假登录界面输入用户名和密码,账号和密码就会被盗。更可怕的是,一个恶意程序甚至可以同时监控、伪造、劫持多个银行客户的登录界面,但评测中的16款手机银行应用都无法单独解决此类问题。
自绘键盘或小屋
目前大部分手机银行客户端也推荐使用自画键盘,而自画随机键盘可以大大提高安全性和黑客攻击的难度,但也不是万无一失的。如果手机银行客户端被注入恶意模块或者系统模块被恶意代码感染,攻击者可以通过Hook替换方式直接获取密码明文。
评估结果显示,手机银行客户端使用最多的安卓组件是Activity,而被评估的16款银行应用中有一款客户端存在严重的导出Activity的风险,有两款客户端存在导出Activity的错误可能导致系统崩溃的问题。
密码+短信也不安全
Android作为一个开放平台,攻击者很容易利用逆向分析工具对银行客户端程序进行反编译,在反编译结果中加入恶意代码,然后发布到一些审计不严的第三方市场。这些盗版的银行客户端软件,经过第二次打包发布,对用户的支付安全造成了极其严重的安全威胁。
在评估中,16家手机银行客户未能完全有效地防止逆向分析和二次包装。虽然有些客户端验证了他们的签名,但在重新打包的过程中很容易被攻击者篡改,无法防止二次打包。
同时,虽然一些银行已经开始推广音频屏蔽、蓝牙屏蔽等双因素认证系统,但这些系统的使用并不是强制性的,所以绝大多数用户仍然使用“账户密码+短信验证码”的认证方式。然而,实际测量表明,这种传统的认证系统非常容易受到具有短信劫持功能的木马攻击。
最新数据显示,中国移动互联网用户5.27亿,移动支付半年增长63%。中国消费者已经进入移动支付时代。但不法分子制造假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件,已严重威胁移动支付安全。
来自360互联网安全中心的统计数据也显示,此次评估的16款手机银行客户端软件中,有15款被盗版。个别客户甚至有20多个不同的盗版版本;尤其是正版下载量更高的网银App,盗版版本更多。手机银行App使用方便,但是否安全越来越值得银行业和消费者警惕。