首页 >> >> 信息发布 >> 正文
360报告:银行APP用系统键盘输入易被木马记录
通信世界网 http://www.cww.net.cn 2014年7月21日 11:01
标签:360互联网安全中心
 

通信世界网消息(CWW) 很多人都记得,在U盾出现之前,我们用电脑网银汇款时,为了防止木马记录键盘按键盗取密码,银行都会提示是使用动态键盘,用鼠标点击输入密码。而在手机支付领域,这一问题仍然存在。据360互联网安全中心刚刚发布的《2014年第二期中国移动支付安全报告》显示,当前安卓平台16款主流银行客户端软件中,有2款使用了系统默认输入法,由于系统默认输入法的数字排序和按钮位置均固定,所以很容易被木马记录,导致用户网银账号密码被盗。

图:某银行手机支付客户端自绘随机键盘

据了解,在使用手机银行客户端的过程中经常会输入支付密码、账户信息等关键信息。而一些木马也盯上了手机银行客户端,记录键盘输入是很多盗号木马的基本功能。而为了避免遭到木马记录,目前绝大多数手机银行客户端都使用“自绘固定键盘”和“自绘随机键盘”,但仍有还在使用“系统默认键盘”的情况。

其中系统默认输入法的安全性最低,自绘固定键盘居中,自绘随机键盘安全系数最高。360报告中指出,此次测试的16款移动支付软件中多数银行使用的是自绘固定键盘,安全指数最高的自绘随机键盘还并得到被广泛应用,仅7款客户端使用了自绘随机键盘,更有2款软件选择了最易受到攻击的系统默认输入法。

360手机安全专家表示,系统默认输入与系统和银行客户端没有直接联系,因此,对于使用系统默认输入法的银行客户端软件来说,当用户在银行客户端中输入账户和密码时,输入的内容将直接传给银行客户端。因此一旦默认输入法感染恶意代码或被能记录键盘数据的恶意程序监控,用户输入的账号密码信息将轻易被黑客掌控。自绘固定键盘可以避免被第三方输入法监听的风险,但对键盘记录的防御能力依然有限。

专家介绍称,自绘随机键盘的安全性要在之前两者之上,在输入账号密码时会生成随机键盘,使每次输入时点击的位置都不尽相同。如此一来,就算黑客能够监控到键盘记录,但也会因随机键盘的缘故难以猜测出用户输入的内容,其安全性自然也大大提升。

可见,手机客户端整体的安全系数并不如想象中的高,键盘监听类恶意程序对用户的财产安全的威胁依旧不小。因此,360手机安全专家提醒用户,要通过正规的手机应用市场下载手机银行支付软件,同时也要慎重选择安全系数较高的手机银行客户端。360手机卫士也可帮助用户检测、查杀手机中的木马病毒,避免财产损失的情况发生。

《2014年第二期中国移动支付安全报告》报告全文:

http://zt.360.cn/report/通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:
 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网