手机支付用户超2亿 360报告称银行APP安全性滞后

浏览:
字体:
发布时间:2014-07-25 09:57:44
来源:

近日,CNNIC发布报告称,我国移动支付的增长速度非常迅猛,用户规模达到2.05亿,半年度增长率为63.4%,是整体网上支付市场用户规模增长速度的5.2倍。但在用户量和规模迅速增长的同时,移动支付的安全性却暗藏隐忧:360互联网安全中心于7月16日发布了《手机银行客户端安全性测评报告》,对目前主流的手机银行客户端进行了系统的评测,从评测结果看,移动支付的安全性滞后,仍存在大量安全隐患。

报告显示,本次共测试了16款主流手机银行客户端,测评的主要内容包括:登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试。同时为避免测试结果被恶意利用,本次测试不会公布每个银行客户端的具体结果和敏感细节,但仅靠公布的细节,也可以看出当前手机银行客户端存在的种种安全隐患。

加密等级不高、默认键盘暗藏安全隐患

在加密机制上,有两款客户端采取了http+简单加密的方式,这在三种主流的加密方式中是安全系数较低的一种。360手机安全专家表示,由于HTTP传输方式会造成一些关键字段以明文显示,因此攻击者就可以此为入口进入网银账号,造成财产损失。而在使用HTTPS加密方式的客户端中,有三款存在忽略服务端证书校验安全漏洞,这也让银行客户端面临着中间人攻击的风险:黑客辗转腾挪于服务器与客户端之间,窃取用户帐号、密码等信息。

由于手机银行客户端需要频繁的输入密码及帐号,因此自绘随机键盘是解决键盘监听窃取账号密码的好方案。但事实上,自绘随机键盘并没有在手机银行客户端上普及,仅有7款客户端使用随机自绘键盘,而且有两款客户端依旧在使用默认键盘。因此,一旦默认的输入法程序感染了恶意代码,或者是输入法程序被具有记录键盘数据能力的恶意程序监控,则就很可能导致用户输入的账户或密码信息被恶意程序盗取。

安卓系统漏洞给黑客可乘之机

除客户端本身的问题外,安卓系统漏洞也经常被黑客利用。进程注入就是一种很典型的利用漏洞攻击客户端的方法。由于安卓系统存在严重的碎片化问题,用户手机中诸多的系统漏洞无法在第一时间修复。因此木马程序就有机会借助这些漏洞提升root权限,完成对银行客户端的注入。一旦木马注入到客户端进程中,将可轻而易举的获取用户账号和密码。

由于进程注入利用了安卓核心漏洞,因此防范起来比较困难。通常来说借助安全软件进行防御是比较可行的办法,诸如360手机卫士等安全软件提供了反注入防护能力,可以增加注入成本,在一定程度上缓解所受攻击压力。而手机银行客户端软件应当与手机安全软件,特别是具有支付保护能力的安全软件配合使用。

反编译可轻易“打造”盗版恶意应用

记者在《报告》中发现了一个令人不安的事实,那就是本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包,虽然一些客户端对自身签名进行了校验,但也很容易在重打包过程中被攻击者轻易篡改,起不到防止二次打包的作用。而黑客可以在二次打包的应用中植入恶意代码,从而轻易窃取银行的账号密码,对用户的支付安全造成了极其严重的安全威胁。

除此之外,短信密码结合的验证方式曾被认为是非常安全的方式,但在能截获短信的木马面前,这道关卡也变得不那么牢靠,而U盾等相对安全的验证方式又因为接口问题难以在手机上实现,在多重验证方面,手机银行客户端还有很长的路要走。

移动支付的发展速度大大超过了人们的想象,但从360发布的报告来看,相应的安全措施似乎并未跟上用户量的增长速度。上千亿的资金在人们的手机中流动,如果安全这道“堤防”决口,那造成的后果简直不堪设想。从长远来看,这份《报告》的实际意义是让人们提前发现问题,并有目的的去解决,从根本上解决移动支付的安全问题。

>更多相关文章
24小时热门资讯
24小时回复排行
资讯 | QQ | 安全 | 编程 | 数据库 | 系统 | 网络 | 考试 | 站长 | 关于东联 | 安全雇佣 | 搞笑视频大全 | 微信学院 | 视频课程 |
关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007 - 2024 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规
');})();