國內手機銀行安全體檢:多款存在高危漏洞 可影響資金安全

朋友的手機銀行被盜,轉走十幾萬!!

手機銀行被盜,驚心動魄15分

男子三張卡綁定手機銀行被盜 4分鐘27萬被轉走

上面幾個標題對大家來說應該不陌生,近幾年因手機銀行的普及和社交網路的傳播,時常有類似的事件刷屏。

這只是我在搜索引擎檢索「手機銀行+被盜」隨便摘取的幾條。在Google、百度上搜索它們,顯示找到的結果條目分別為323萬、352萬個,數目驚人。

作為新興領域的附加品,這些手機銀行被盜案例大多都沒有沒法追回被盜的錢,損失由用戶承擔。可供用戶實踐的有效建議非常地概念化,比如「不要泄露個人隱私信息」、「保持安全的手機使用習慣」等等,許多案例最後都陷入了扯皮,難以界定責任。

但除了用戶責任外,其實交易中間方的銀行也很可能有責任,只是我們平常難以去發現。

最近嘶吼收到一份來自工信部旗下泰爾終端實驗室的研究報告,其針對國內多款手機銀行APP進行安全測評,發現有數款存在嚴重安全隱患,結果不容樂觀。

根據泰爾終端實驗室的安全報告《金融客戶端也會存在高危漏洞》顯示,他們針對中國銀行、中信銀行、建設銀行等國內多家大型商業銀行的Android端手機銀行APP進行分析後發現:

此次測評的APP普遍存在高危漏洞,用戶在進行轉賬交易時,黑客能夠通過一定的技術手段劫持用戶的轉賬信息,從而導致用戶的轉賬資金被非法竊取。

用人話說,就是當你被攻擊者盯上後,你在使用中行、中信、建行等銀行的手機銀行Android APP進行轉賬,明明對方的卡號、姓名、開戶行填寫後反覆檢查沒問題,簡訊提示也顯示正確,但轉完賬一查交易記錄,欸…剛剛的錢怎麼轉給一個陌生名字了?一臉懵。

當然,要實現這樣的高難度騙局,也需要一定的條件,大家不用過於恐慌。為避免被惡意利用,漏洞細節暫未公開,泰爾表示已反饋到相關銀行進行修補。

除篡改轉賬賬號漏洞外,報告還提到,部分手機銀行APP的關鍵組件沒有界面劫持防護。攻擊者可以在手機銀行的登錄、支付頁面彈窗,偽造同樣的界面,如果用戶繼續操作下去,填寫的賬號密碼信息便全部泄漏給攻擊者了。

此外,報告中還發現,被檢測的手機銀行APP自身防禦手段較弱,易被破解,安全性較低。即使水平不高的攻擊者,也可以輕鬆破解它們,了解每個敏感操作的位置並去植入惡意代碼。注毒的APP被二次打包發到網上,下載的人可就要慘了,看著和官方版一模一樣,用了錢/私密信息就丟了。

從整份報告來看,國內的大多數手機銀行APP在安全上仍需提高,官方應多關注用戶實際使用環境和黑產動向,能接上地氣真正落實用戶痛點。報告發布前,泰爾終端實驗室已經將相關漏洞信息反饋給相關銀行。嘶吼將持續關注事件進展。

說點題外話,在手機支付之前,過去的銀行卡支付、網銀支付都曾經歷過長久的安全演進。最老的磁條卡,在現在看來安全方面可謂是簡陋極了,竊取信息、複製、盜刷都非常簡單,但如果你現在無論是用磁條卡還是晶元卡,只要卡沒丟,用戶不用負盜刷責任。手機銀行是否可能打造出類似的環境?期待之。

用戶安全建議

1、從正規應用市場或官方網站下載APP

2、盡量選擇安全口碑較好、用戶權益保護良好的銀行辦理業務

3、謹慎使用手機銀行APP執行轉賬等敏感操作,大額轉賬後應和對方確認

4、提高信息安全意識,保護個人隱私數據

本文為 嘶吼編輯 longye 撰寫,如若轉載,請註明來源於嘶吼: 國內手機銀行安全體檢:多款存在高危漏洞,可影響資金安全 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:

如何開發支持 FIDO U2F 登錄的網站
快訊:烏克蘭、俄羅斯、印度等多國遭受Petya勒索病毒襲擊(附樣本)
迪士尼或以延期《加勒比海盜5》上映的代價 為好萊塢網路安全現身說法

TAG:移动金融安全 | 网络安全 | 信息安全 |