國內手機銀行安全體檢：多款存在高危漏洞 可影響資金安全

朋友的手機銀行被盜,轉走十幾萬!!

手機銀行被盜,驚心動魄15分

男子三張卡綁定手機銀行被盜 4分鐘27萬被轉走

上面幾個標題對大家來說應該不陌生，近幾年因手機銀行的普及和社交網路的傳播，時常有類似的事件刷屏。

這只是我在搜索引擎檢索「手機銀行+被盜」隨便摘取的幾條。在Google、百度上搜索它們，顯示找到的結果條目分別為323萬、352萬個，數目驚人。

作為新興領域的附加品，這些手機銀行被盜案例大多都沒有沒法追回被盜的錢，損失由用戶承擔。可供用戶實踐的有效建議非常地概念化，比如「不要泄露個人隱私信息」、「保持安全的手機使用習慣」等等，許多案例最後都陷入了扯皮，難以界定責任。

但除了用戶責任外，其實交易中間方的銀行也很可能有責任，只是我們平常難以去發現。

最近嘶吼收到一份來自工信部旗下泰爾終端實驗室的研究報告，其針對國內多款手機銀行APP進行安全測評，發現有數款存在嚴重安全隱患，結果不容樂觀。

根據泰爾終端實驗室的安全報告《金融客戶端也會存在高危漏洞》顯示，他們針對中國銀行、中信銀行、建設銀行等國內多家大型商業銀行的Android端手機銀行APP進行分析後發現：

此次測評的APP普遍存在高危漏洞，用戶在進行轉賬交易時，黑客能夠通過一定的技術手段劫持用戶的轉賬信息，從而導致用戶的轉賬資金被非法竊取。

用人話說，就是當你被攻擊者盯上後，你在使用中行、中信、建行等銀行的手機銀行Android APP進行轉賬，明明對方的卡號、姓名、開戶行填寫後反覆檢查沒問題，簡訊提示也顯示正確，但轉完賬一查交易記錄，欸…剛剛的錢怎麼轉給一個陌生名字了？一臉懵。

當然，要實現這樣的高難度騙局，也需要一定的條件，大家不用過於恐慌。為避免被惡意利用，漏洞細節暫未公開，泰爾表示已反饋到相關銀行進行修補。

除篡改轉賬賬號漏洞外，報告還提到，部分手機銀行APP的關鍵組件沒有界面劫持防護。攻擊者可以在手機銀行的登錄、支付頁面彈窗，偽造同樣的界面，如果用戶繼續操作下去，填寫的賬號密碼信息便全部泄漏給攻擊者了。

此外，報告中還發現，被檢測的手機銀行APP自身防禦手段較弱，易被破解，安全性較低。即使水平不高的攻擊者，也可以輕鬆破解它們，了解每個敏感操作的位置並去植入惡意代碼。注毒的APP被二次打包發到網上，下載的人可就要慘了，看著和官方版一模一樣，用了錢/私密信息就丟了。

從整份報告來看，國內的大多數手機銀行APP在安全上仍需提高，官方應多關注用戶實際使用環境和黑產動向，能接上地氣真正落實用戶痛點。報告發布前，泰爾終端實驗室已經將相關漏洞信息反饋給相關銀行。嘶吼將持續關注事件進展。

說點題外話，在手機支付之前，過去的銀行卡支付、網銀支付都曾經歷過長久的安全演進。最老的磁條卡，在現在看來安全方面可謂是簡陋極了，竊取信息、複製、盜刷都非常簡單，但如果你現在無論是用磁條卡還是晶元卡，只要卡沒丟，用戶不用負盜刷責任。手機銀行是否可能打造出類似的環境？期待之。

用戶安全建議

1、從正規應用市場或官方網站下載APP

2、盡量選擇安全口碑較好、用戶權益保護良好的銀行辦理業務

3、謹慎使用手機銀行APP執行轉賬等敏感操作，大額轉賬後應和對方確認

4、提高信息安全意識，保護個人隱私數據