通信世界网消息(CWW) 近日,CNNIC发布报告称,我国移动支付的增长速度非常迅猛,用户规模达到2.05亿,半年度增长率为63.4%,是整体网上支付市场用户规模增长速度的5.2倍。但在用户量和规模迅速增长的同时,移动支付的安全性却暗藏隐忧:360互联网安全中心于7月16日发布了《手机银行客户端安全性测评报告》,对目前主流的手机银行客户端进行了系统的评测,从评测结果看,移动支付的安全性滞后,仍存在大量安全隐患。
报告显示,本次共测试了16款主流手机银行客户端,测评的主要内容包括:登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试。同时为避免测试结果被恶意利用,本次测试不会公布每个银行客户端的具体结果和敏感细节,但仅靠公布的细节,也可以看出当前手机银行客户端存在的种种安全隐患。
加密等级不高、默认键盘暗藏安全隐患
在加密机制上,有两款客户端采取了http+简单加密的方式,这在三种主流的加密方式中是安全系数较低的一种。360手机安全专家表示,由于HTTP传输方式会造成一些关键字段以明文显示,因此攻击者就可以此为入口进入网银账号,造成财产损失。而在使用HTTPS加密方式的客户端中,有三款存在忽略服务端证书校验安全漏洞,这也让银行客户端面临着中间人攻击的风险:黑客辗转腾挪于服务器与客户端之间,窃取用户帐号、密码等信息。
由于手机银行客户端需要频繁的输入密码及帐号,因此自绘随机键盘是解决键盘监听窃取账号密码的好方案。但事实上,自绘随机键盘并没有在手机银行客户端上普及,仅有7款客户端使用随机自绘键盘,而且有两款客户端依旧在使用默认键盘。因此,一旦默认的输入法程序感染了恶意代码,或者是输入法程序被具有记录键盘数据能力的恶意程序监控,则就很可能导致用户输入的账户或密码信息被恶意程序盗取。
安卓系统漏洞给黑客可乘之机
除客户端本身的问题外,安卓系统漏洞也经常被黑客利用。进程注入就是一种很典型的利用漏洞攻击客户端的方法。由于安卓系统存在严重的碎片化问题,用户手机中诸多的系统漏洞无法在第一时间修复。因此木马程序就有机会借助这些漏洞提升root权限,完成对银行客户端的注入。一旦木马注入到客户端进程中,将可轻而易举的获取用户账号和密码。
由于进程注入利用了安卓核心漏洞,因此防范起来比较困难。通常来说借助安全软件进行防御是比较可行的办法,诸如360手机卫士等安全软件提供了反注入防护能力,可以增加注入成本,在一定程度上缓解所受攻击压力。而手机银行客户端软件应当与手机安全软件,特别是具有支付保护能力的安全软件配合使用。
反编译可轻易“打造”盗版恶意应用
记者在《报告》中发现了一个令人不安的事实,那就是本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包,虽然一些客户端对自身签名进行了校验,但也很容易在重打包过程中被攻击者轻易篡改,起不到防止二次打包的作用。而黑客可以在二次打包的应用中植入恶意代码,从而轻易窃取银行的账号密码,对用户的支付安全造成了极其严重的安全威胁。
除此之外,短信密码结合的验证方式曾被认为是非常安全的方式,但在能截获短信的木马面前,这道关卡也变得不那么牢靠,而U盾等相对安全的验证方式又因为接口问题难以在手机上实现,在多重验证方面,手机银行客户端还有很长的路要走。
移动支付的发展速度大大超过了人们的想象,但从360发布的报告来看,相应的安全措施似乎并未跟上用户量的增长速度。上千亿的资金在人们的手机中流动,如果安全这道“堤防”决口,那造成的后果简直不堪设想。从长远来看,这份《报告》的实际意义是让人们提前发现问题,并有目的的去解决,从根本上解决移动支付的安全问题。
|