首页 >> >> 信息发布 >> 正文
手机支付用户超2亿 360报告称银行APP安全性滞后
通信世界网 http://www.cww.net.cn 2014年7月24日 17:17
标签:360报告
 

通信世界网消息(CWW) 近日,CNNIC发布报告称,我国移动支付的增长速度非常迅猛,用户规模达到2.05亿,半年度增长率为63.4%,是整体网上支付市场用户规模增长速度的5.2倍。但在用户量和规模迅速增长的同时,移动支付的安全性却暗藏隐忧:360互联网安全中心于7月16日发布了《手机银行客户端安全性测评报告》,对目前主流的手机银行客户端进行了系统的评测,从评测结果看,移动支付的安全性滞后,仍存在大量安全隐患。

报告显示,本次共测试了16款主流手机银行客户端,测评的主要内容包括:登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试。同时为避免测试结果被恶意利用,本次测试不会公布每个银行客户端的具体结果和敏感细节,但仅靠公布的细节,也可以看出当前手机银行客户端存在的种种安全隐患。

加密等级不高、默认键盘暗藏安全隐患

在加密机制上,有两款客户端采取了http+简单加密的方式,这在三种主流的加密方式中是安全系数较低的一种。360手机安全专家表示,由于HTTP传输方式会造成一些关键字段以明文显示,因此攻击者就可以此为入口进入网银账号,造成财产损失。而在使用HTTPS加密方式的客户端中,有三款存在忽略服务端证书校验安全漏洞,这也让银行客户端面临着中间人攻击的风险:黑客辗转腾挪于服务器与客户端之间,窃取用户帐号、密码等信息。

由于手机银行客户端需要频繁的输入密码及帐号,因此自绘随机键盘是解决键盘监听窃取账号密码的好方案。但事实上,自绘随机键盘并没有在手机银行客户端上普及,仅有7款客户端使用随机自绘键盘,而且有两款客户端依旧在使用默认键盘。因此,一旦默认的输入法程序感染了恶意代码,或者是输入法程序被具有记录键盘数据能力的恶意程序监控,则就很可能导致用户输入的账户或密码信息被恶意程序盗取。

安卓系统漏洞给黑客可乘之机

除客户端本身的问题外,安卓系统漏洞也经常被黑客利用。进程注入就是一种很典型的利用漏洞攻击客户端的方法。由于安卓系统存在严重的碎片化问题,用户手机中诸多的系统漏洞无法在第一时间修复。因此木马程序就有机会借助这些漏洞提升root权限,完成对银行客户端的注入。一旦木马注入到客户端进程中,将可轻而易举的获取用户账号和密码。

由于进程注入利用了安卓核心漏洞,因此防范起来比较困难。通常来说借助安全软件进行防御是比较可行的办法,诸如360手机卫士等安全软件提供了反注入防护能力,可以增加注入成本,在一定程度上缓解所受攻击压力。而手机银行客户端软件应当与手机安全软件,特别是具有支付保护能力的安全软件配合使用。

反编译可轻易“打造”盗版恶意应用

记者在《报告》中发现了一个令人不安的事实,那就是本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包,虽然一些客户端对自身签名进行了校验,但也很容易在重打包过程中被攻击者轻易篡改,起不到防止二次打包的作用。而黑客可以在二次打包的应用中植入恶意代码,从而轻易窃取银行的账号密码,对用户的支付安全造成了极其严重的安全威胁。

除此之外,短信密码结合的验证方式曾被认为是非常安全的方式,但在能截获短信的木马面前,这道关卡也变得不那么牢靠,而U盾等相对安全的验证方式又因为接口问题难以在手机上实现,在多重验证方面,手机银行客户端还有很长的路要走。

移动支付的发展速度大大超过了人们的想象,但从360发布的报告来看,相应的安全措施似乎并未跟上用户量的增长速度。上千亿的资金在人们的手机中流动,如果安全这道“堤防”决口,那造成的后果简直不堪设想。从长远来看,这份《报告》的实际意义是让人们提前发现问题,并有目的的去解决,从根本上解决移动支付的安全问题。通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:
 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网