AD
本报记者 曹瑞奇报道
易观智库产业数据库日前发布的《中国手机银行市场监测数据报告(2014年第2季度)》显示,今年第二季度,手机银行客户交易金额达到5.99万亿元,环比增长8.1%。易观智库分析认为,随着智能手机市场发展速度的逐渐减缓,以及商业银行手机银行前期“跑马圈地”式推广,个人手机银行用户的增长将趋于稳定。
在易观产业数据库发布上述《监测数据报告》的同一时间,互联网安全厂商奇虎360手机安全中心发布了国内首份《手机银行客户端安全性测评报告》。该《测评报告》对16家主流银行手机客户端进行评测发现,银行类手机App整体安全状况堪忧,多款手机银行客户端App存在被恶意篡改的安全风险,个别App甚至出现了20个以上不同的盗版版本。
手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。“目前,手机支付行为在逐渐增加,手机银行App的使用频率越来越高。这一方面为手机银行的普及提供了很大空间,另一方面也对手机银行App的使用功能和账户安全提出了很大挑战。”业内专家表示。
银行类App方便快捷
安全性堪忧
随着社会的不断进步和发展,人们的生活水平越来越高,生活节奏也越来越快。在这个强调便捷、效率的时代,以往单纯的网上银行已经不能满足人们日益增长的消费、支付需求。
“作为消费者,我在未接触手机银行以前,一直通过网上银行来进行日常的消费以及转账。而我个人觉得网上银行的实用性确实有限。比如需要随身携带U盾;遇到紧急情况时,有时得火急火燎的找网吧或者赶回家用电脑;进行一次完整的网上购物需要输入登录密码、个人识别密码(PIN)等各种各样的密码……这样虽然在安全性方面有了保障,但也牺牲了一部分便捷支付的功能。而手机银行的出现,至少很好地弥补了便捷支付这一短板。”出云咨询分析师刘正昊表示。
但是,当消费者正在用手机银行客户端进行交易的时候,是否想过,手机银行App这种便捷的支付功能到底安不安全呢?
360手机安全中心日前发布的《测评报告》针对中国工商银行(601398,股吧)、中国建设银行(601939,股吧)、招商银行(600036,股吧)、交通银行(601328,股吧)、中国银行(601988,股吧)、中国农业银行(601288,股吧)等16家主流银行的安卓手机客户端展开了一次较为全面的安全性评测,测试的主要内容包括登录机制安全性、键盘输入安全性等6个主要方面的8项具体测试。
登录是用户使用手机银行客户端的第一步。由于要输入银行账号及密码等敏感信息,安全性尤为重要。“然而我们发现,消费者几乎从登录客户端这第一步起就成了‘步步危机’,很容易遭受假冒服务端身份的人攻击,俗称被‘中间人攻击’所劫持。这种安全漏洞很有可能被电脑黑客或木马病毒所利用,造成网民银行账户信息泄漏和直接财产损失。”中国电信北京研究院高级工程师李俊杰表示。
360的测评结果显示,在防范进程注入测试(利用安卓系统漏洞对应用恶意注入)中,参与测评的16款手机银行客户端没有任何一款银行客户端能够对这类攻击进行防护。360安全专家万仁国表示,在对16款银行客户端App的登录机制安全性进行测评的过程中,测评专家发现了两类比较严重的安全隐患:一类是加密机制不完整或过于简单,很容易被攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验,从而导致登录过程很容易被“中间人攻击”所劫持。“其中,有两款手机网银客户端还在采用‘HTTP+简单加密’的数据传输方式,极易被劫持或破解。”
软件认证方式固化
山寨应用猖獗
据了解,上述16款手机银行客户端软件采用的均是“账号密码+短信验证码”双因素认证体系。“这种认证体系在面对具有短信劫持功能的手机木马攻击时显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用‘账号密码+短信验证码’的认证方式。”刘正昊表示。
目前,手机银行客户端使用最多的安卓组件是Activity(Activity是安卓系统提供给用户进行屏幕交互操作的应用程序组件),360手机安全中心对其做了专项安全性测试,在防范Activity劫持,防止进程注入,反盗版/防二次打包,以及防止验证短信被劫持等方面,16款被检测的手机银行App的表现“均不佳”。
专家介绍说,不论手机银行App使用的是何种登录加密机制,如果客户端在登录过程中不对服务端的身份(证书)进行校验,就有可能“信任”伪装身份的“冒牌服务端”。消费者一旦连接到假冒的银行服务端上,很容易导致用户名、密码等信息被窃取。
此外,由于安卓是开放平台,攻击者往往还会使用逆向分析工具将手机银行App进行反编译,并在反编译结果中加入恶意代码,这样就可以篡改原始客户端程序的执行流程,截获用户的账号名、密码等隐私数据。“‘二次打包’后的盗版应用从外观上和实际体验上都与正版应用无异,普通消费者对此毫无感知能力。一旦这些盗版银行客户端软件被发布到审核不严格的第三方市场中,就会严重威胁到手机用户的移动支付安全。”李俊杰表示。
多渠道进行防范
确保支付安全
一个月之前,中信银行(601998,股吧)烟台分行在分行营业部随机选取了50名客户以现场询问的方式进行手机银行安全性调研:结果显示,手机银行的主要使用群体为中青年白领,九成的受访人群使用智能手机,其中一半用户使用安卓手机操作系统。调研同时显示,安全性成为影响手机用户业务推广的重要因素。
“部分手机银行用户使用较为简单的数字排列方式或生日作为登录密码,这一使用习惯与用户对安全性的关注度形成鲜明对比,说明大多数人忽视了最基本的安全防范方法,这也成为手机银行安全的一大隐患。”刘正昊说。
那么,该如何确保自己使用的手机银行App是安全的呢?万仁国建议消费者,银行类手机App一定要通过银行官网或者正版的手机助手等经过安全认证的应用市场进行安装,从源头上杜绝下载到盗版手机银行App的可能性;不要轻信陌生人发来的二维码信息,同时保持设置手机开机密码的习惯,最好坚持使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。
“目前,很多骗子通过伪基站技术可以将发信号码伪装成银行官方客服号码。因此,即使是银行官方客服号码发来的类似短信,也不要轻易相信。如果收到此类短信后自己有所担忧,也一定不要直接拨打短信中留下的联系电话,应该通过银行官方客服进行咨询。”刘正昊说,“此外,手机安全软件等第三方监测工具完全有能力校验手机银行客户端软件的数字签名,并鉴别其真伪。”
对于如何有效防范盗版软件,李俊杰提出,一种方法是对手机银行客户端进行签名校验,另一种是进行加固处理。“对手机银行客户端进行加固处理是反盗版的有效方法,由于程序事先经过了加密处理,盗版作者对程序进行逆向分析难度也就大大增加,通常很难在原有代码中混入恶意代码,从而有效阻止应用程序被篡改和‘二次打包’。”
