多(duō)家銀行APP安全性測評不過關 網銀支付請多(duō)個(gè)心眼
發表日期:2014.07.25 訪問人(rén)數:602
最新數據顯示,我國移動支付用(yòng)戶規模達到2.05億,半年度增長(cháng)率爲63.4%,網民手機支付的(de)使用(yòng)比例已提升至38.9%,達5.27億。伴随著(zhe)消費邁入移動支付時(shí)代,越來(lái)越多(duō)的(de)手機成爲“第二錢包”,但移動支付的(de)安全性仍遭到不少質疑。
日前,360互聯網安全中心發布《2014年第二期中國移動支付安全報告》,最重要的(de)内容是對(duì)目前安卓平台上使用(yòng)率較高(gāo)的(de)16家銀行的(de)16款手機客戶端的(de)安全性做(zuò)了(le)一次專業測評,指出國産多(duō)個(gè)手機銀行客戶端有多(duō)處可(kě)被黑(hēi)客利用(yòng)的(de)安全隐患,并表示已将漏洞移交給銀行。
專家提醒,用(yòng)戶日常多(duō)些良好習(xí)慣和(hé)防範措施,可(kě)降低不少的(de)安全隐患。
手機銀行客戶端存安全隐患
360互聯網安全中心數據統計顯示,本次測評的(de)16款手機客戶端軟件中,除了(le)1家銀行之外,其他(tā)銀行的(de)手機網銀客戶端軟件均存在盜版現象。
“測試的(de)版本都是網上能下(xià)載到的(de)最新版的(de)銀行手機客戶端。”據360安全專家講到,測評的(de)主要内容包括登錄機制安全性、鍵盤輸入安全性、Activity組件安全性、進程注入防護、反盜版能力和(hé)認證因素安全性這(zhè)6個(gè)主要方面的(de)8項具體測試,“是非常全面的(de)一次安全性測評。”
記者在報告中看到,這(zhè)16款最新版本的(de)銀行手機客戶端僅個(gè)别APP在登錄、鍵盤輸入環節安全性較高(gāo),但在後面幾項關鍵性測評中所有APP都拿了(le)零分(fēn)。“爲避免具體測試方法和(hé)銀行客戶端漏洞被人(rén)惡意利用(yòng),我們暫時(shí)不會公開每個(gè)銀行客戶端的(de)具體測評結果及敏感測試細節。”360有關負責人(rén)官方表示,目前秘密報告已經提交給了(le)各家銀行,也(yě)會做(zuò)後續跟進。
有專家表示,手機銀行客戶端作爲網上支付的(de)重要工具, 其自身的(de)安全性是網民賬戶、資金安全的(de)基礎。“目前手機銀行客戶端軟件采用(yòng)的(de)多(duō)是‘賬号密碼+短信驗證碼’的(de)認證體系,在面對(duì)具有短信劫持功能的(de)手機木(mù)馬攻擊時(shí),都顯得(de)非常脆弱。”這(zhè)位安全專家直言,雖然已經有部分(fēn)銀行開始推廣音(yīn)頻(pín)盾、藍牙盾等雙因素認證系統,但這(zhè)些系統的(de)使用(yòng)不是強制性的(de),絕大(dà)多(duō)數用(yòng)戶仍在使用(yòng)“賬号密碼+短信驗證碼”的(de)認證方式。“一旦被可(kě)短信劫持的(de)木(mù)馬感染,這(zhè)種雙重保險依舊(jiù)存在安全隐患。”“更可(kě)怕的(de)是,一款惡意程序甚至可(kě)以同時(shí)監測、仿冒和(hé)劫持多(duō)個(gè)銀行客戶端的(de)登錄界面。”該專家表示,根據報告測評結果顯示,在16款手機銀行客戶端軟件中,沒有任何一款客戶端能單獨解決這(zhè)類問題。
此外,360互聯網安全中心數據統計顯示,本次測評的(de)16款手機客戶端軟件中,除了(le)1家銀行之外,其他(tā)銀行的(de)手機網銀客戶端軟件均存在盜版現象。
移動支付注意加強防範
目前各大(dà)銀行的(de)官方網站上都會有手機APP的(de)下(xià)載入口,同時(shí)用(yòng)戶還(hái)應及時(shí)爲手機系統打上安全補丁以阻止木(mù)馬入侵,或安裝安全軟件。
據報告顯示,正版下(xià)載量越高(gāo)的(de)網銀App,盜版版本數也(yě)相對(duì)較多(duō),個(gè)别客戶端甚至有20個(gè)以上的(de)盜版版本。“用(yòng)戶最好從正确的(de)渠道下(xià)載支付軟件。”某銀行電子銀行部門工作人(rén)員(yuán)表示,目前各大(dà)銀行的(de)官方網站上都會有手機APP的(de)下(xià)載入口,一些銀行還(hái)有相應的(de)業務指南(nán)、開通(tōng)流程和(hé)演示頁面,用(yòng)戶可(kě)通(tōng)過銀行的(de)官方渠道下(xià)載手機APP,避免盜版版本的(de)侵害。“同時(shí),用(yòng)戶還(hái)應及時(shí)爲手機系統打上安全補丁以阻止木(mù)馬入侵,或安裝安全軟件,在木(mù)馬裝進手機之前将其查殺。如發現問題後,第一時(shí)間緻電銀行客服熱(rè)線進行封鎖賬戶或挂失等相關補救措施。” 某銀行電子銀行部門工作人(rén)員(yuán)稱。
除從下(xià)載軟件渠道防範手機支付風險外,用(yòng)戶日常的(de)使用(yòng)習(xí)慣還(hái)需多(duō)加注意,一些良好的(de)習(xí)慣同樣能減少你手機支付的(de)安全隐患。“日常要養成良好的(de)手機使用(yòng)習(xí)慣。”有銀行人(rén)士表示,目前國内的(de)移動支付仍處在發展起步階段,隻要安全性能得(de)到保障,移動支付的(de)便捷性一定會讓移動支付有更大(dà)的(de)應用(yòng)空間。就現在發現的(de)一些隐患問題主要還(hái)是市民安全意識不強,所以,用(yòng)戶安全地使用(yòng)手機支付從良好習(xí)慣出發。“不要輕信陌生人(rén)發來(lái)的(de)二維碼信息,同時(shí)最好保持設置手機開機密碼的(de)習(xí)慣,并使用(yòng)數字證書(shū)、寶令、支付盾、手機動态口令等安全必備産品。”該人(rén)士強調,目前很多(duō)騙子通(tōng)過僞基站技術可(kě)以将所發信号碼僞裝成銀行官方客服号碼。因此,即使是銀行官方客服号碼發來(lái)的(de)類似短信,也(yě)不要輕信。“如果收到此類短信後自己有擔憂,也(yě)一定不要直接撥打短信中留下(xià)的(de)聯系電話(huà),而是要通(tōng)過銀行官方客服進行咨詢。”
專家還(hái)建議(yì),用(yòng)戶不要在手機上安裝來(lái)曆不明(míng)、可(kě)能有危險的(de)程序,同時(shí)還(hái)應設置敏感應用(yòng)的(de)訪問密碼;如遇手機遺失,立馬遠(yuǎn)程銷毀手機數據。此外,用(yòng)戶也(yě)應盡量減少個(gè)人(rén)信息洩露,尤其是手機号、身份證号、電子郵箱等敏感信息,避免不必要的(de)洩露。
