本報訊(華商晨報 華商響網記者 宋雪)16日,360手機安全中心發佈《手機銀行客戶端安全性測評報告》,針對包括16款手機銀行客戶端進行安全性測評,均存在安全風險。
  登錄階段存嚴重安全隱患
  登錄,因為要輸入銀行賬號及密碼,安全性尤為重要。16款銀行客戶端的登錄機制存在兩類安全隱患:一類是加密機制不完整或過於簡單,很容易被攻擊者劫持或破解;另一類是在通信過程中不對服務端身份進行校驗,從而導致登錄過程很容易被“中間人攻擊”所劫持。其中,有兩款手機網銀客戶端採用了“HTTP+簡單加密”的數據傳輸方式,極易被劫持或破解。
  如果客戶端在登錄過程中不對服務端的身份(證書)進行校驗,就有可能“信任”偽裝身份的“冒牌服務端”,從而導致用戶名、密碼等信息被竊取。在測評的16款銀行客戶端中,共有3款銀行客戶端(均使用HTTPS加密機制)存在忽略服務端證書校驗安全漏洞。
  自繪隨機鍵盤也不安全
  在鍵盤輸入安全性測試中發現,有2款客戶端使用了系統默認的輸入法,存在重大的安全隱患。雖然多數手機銀行客戶端使用了自繪鍵盤,但也並不是萬無一失的。如果手機銀行客戶端被註入了惡意模塊,或者系統模塊被惡意代碼感染等極端惡劣的環境下,攻擊者可以通過Hook直接獲取到密碼明文。
  安卓作為開放平臺,攻擊者可以較容易地使用逆向分析工具,將銀行客戶端程序進行反編譯,並向反編譯結果中加入惡意代碼後,發佈到一些審核不嚴格的第三方市場中。這些被二次打包發佈的盜版銀行客戶端軟件,對用戶的支付安全造成了極其嚴重的安全威脅。
  測試中還發現,16款手機銀行客戶端軟件採用的均是“賬號密碼+短信驗證碼”的偽雙因素認證體系。這種認證體系在面對具有短信劫持功能的手機木馬攻擊時,都顯得非常脆弱。雖然已經有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統,但這些系統的使用不是強制性的,絕大多數用戶仍在使用“賬號密碼+短信驗證碼”的認證方式。  (原標題:均存安全隱患)
創作者介紹

佘詩曼

pomsuduf 發表在 痞客邦 PIXNET 留言(0) 人氣()