手機銀行存在哪些安全隱患？

例如招商銀行iphone客戶端

理論手機感染病毒的幾率遠比PC要低，是否可認為手機客戶端比PC網上銀行要安全？

---

目前手機銀行存在的安全問題主要是這兩方面：

1.密碼泄露

2.交易劫持

先說手機銀行可能導緻密碼泄露因素：

1. 手機銀行APP來源不正規，不正規的APP可能是模仿銀行界面的釣魚程序，誘導客戶輸入賬號密碼；也有可能是手機銀行的反編譯篡改版本，更改關鍵頁面顯示，誘導客戶輸入信息。

一般情況，銀行大堂經理會幫客戶安裝，用戶若要自己下載，要在正規的第三方store上下載。

2. 木馬程序盜取密碼，安卓許可權的開發，是的一些APP可以通過截屏、錄屏、獲取觸摸事件等方式盜取密碼。

再說交易劫持，以轉賬為例：

每個轉賬請求有如下幾個要素點：

#收款人

#收款人賬號

#金額

#時間

#付款人

這些數據被打成數據包從手機銀行APP加密傳遞到銀行後台，銀行後台根據這些數據，在收款人的賬戶上加上相應的金額，在付款人賬戶上划去等同的金額。如果被黑客劫持數據和破解，修改這些交易要素，在傳到銀行後台，銀行後台就會執行一個錯誤的劃賬。例如紅塔集團要轉給昆明鋼鐵廠的1000萬，你修改了收款人，轉到你的賬戶上。

於是在轉賬過程中需要保證：

1.轉賬信息加密不被破解-

2.數據被破解後不會被修改

轉賬信息如何不被破解，我們在手機銀行和銀行後台都埋上一個秘鑰（不是賬戶密碼，單單只用來加密數據），傳輸的數據需要用這個秘鑰來加密。但問題來了：

1. 銀行第一次怎麼把這個秘鑰給客戶？

2.給客戶之後怎麼保存？

3.黑客用超級計算機，無窮盡的嘗試秘鑰，破解。

網上發送同樣會被黑客劫持，可以一對一當面給客戶。客戶轉賬時需要用，於是他可能導到APP里來，但是，由於前面說過的手機APP不安全，手機環境惡劣，被木馬劫持了這個秘鑰，信息就被破解。

人們想到一個方法，可以把這個秘鑰放在外面的一個小設備里保存，但黑客還會窮舉嘗試推算出這個密碼，所以人們更進一步，這個密碼只能用一次！

這種設備就是OTP（One time password）

（待續）

---

簡略敲幾點，不當的地方，大家拍拍磚：

1、手機銀行的安全隱患主要有兩點：一是賬戶和密碼被竊取，包括網路竊聽傳輸的賬戶和密碼、從客戶端竊取用戶輸入、破譯客戶端保存的賬戶和密碼等；二是傳輸內容加被竊聽，包括信息加密、認證機制、網路協議等。單純從安全技術的角度來說，安全性能是銀行開發手機銀行優先考慮的因素之一，目前手機銀行的安全措施與網上銀行幾無差異，甚至在某些方面更有優勢，再配合安全軟體使用，安全問題基本可以得到保障。

2、但是手機銀行作為一種便捷的移動應用終端，其安全問題有別於網上銀行，縱觀很多手機銀行安全事故絕大部分都是由於用戶的個人使用行為不當引起的，如手機丟失、使用不明來源的公共wifi（特別是無需密碼的公共wifi特別需要警惕）、賬戶信息保護不當、刷機越獄，等等。

3、招行手機銀行的安全性能還是挺不錯的，採用雙重密碼、圖形驗證碼等全方位安全措施，確保客戶資金與信息的安全，採用SSL安全協議進行高強度的數據加密傳輸，即使網路傳輸的數據被截獲，也無法解密和還原。

---

手機安全網站微信支付安全

---

推薦閱讀：