AD
商报讯 (实习生 王迪慧 记者 郭雪红) 日前,360手机安全中心发布了国内首份《手机银行客户端安全性测评报告》。报告对16家主流银行手机客户端进行评测发现,银行类手机App整体安全状况堪忧,多款手机银行App存在被恶意篡改的安全风险,个别App甚至有20个以上不同的盗版版本。
《手机银行客户端安全性测评报告》称,16款银行客户端的登录机制安全性测评中,暴露了两类比较严重的安全隐患。一类是加密机制不完整或过于简单,很容易被攻击者劫持或破解。报告显示,进行评测的手机银行客户端采用的均是“账号密码+短信验证码”的认证体系,但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。另一类是在通信过程中不对服务端身份进行校验,导致登录过程很容易被“中间人攻击”所劫持。
该报告还显示,测评的手机客户端软件中,除了一家银行外,其他银行的手机网银客户端软件均存在盗版现象。总体而言,正版下载量越高的网银App,盗版版本数也相对较多。“安卓作为开放平台,攻击者可以较容易地使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码后,发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成了极其严重的安全威胁。”中国互联网协会相关人士表示。
360手机安全专家提醒,防止盗版的一种方法是对手机银行客户端进行签名校验,但最稳妥的方法是进行加固处理,即使用手机安全软件等第三方监测工具提升安全性。
