315調查：建行等多家國有銀行手機轉賬現高危漏洞，用戶資金或被非法竊取

隨著智能手機的普及和移動互聯網的快速擴張，國內移動支付發展迅猛，各家銀行紛紛推出手機銀行產品。與此同時，安全問題也不斷出現，釣魚詐騙、信息泄露、資金盜取等問題一直困擾著從業者和用戶。

最近，嘶吼收到工信部旗下泰爾終端實驗室的安全報告《金融客戶端也會存在高危漏洞》。泰爾終端實驗室工程師近期針對基於安卓操作系統的多款手機銀行APP安全性進行了較為全面的分析評測，涉及中國銀行、中信銀行、建設銀行等國內多家大型商業銀行。測評內容包括：通信安全性、鍵盤輸入安全性、客戶端運行時安全性、客戶端安全防護、代碼安全性和客戶端業務邏輯安全性等6個方面的39項內容。

泰爾終端實驗室的工程師通過實驗發現，此次測試的手機銀行APP普遍存在高危漏洞，用戶在進行轉賬交易時，黑客能夠通過一定的技術手段劫持用戶的轉賬信息，從而導致用戶的轉賬資金被非法竊取。

報告進一步分析：

手機銀行APP在邏輯設計及流程設計時可能存在一定的缺陷，導致黑客可以識別轉賬、匯款時的敏感函數，繼而將客戶的交易數據篡改為黑客指定的賬戶，造成本應轉給正常用戶的資金被轉到黑客的賬戶，此類情況會造成個人用戶或企業客戶的巨大經濟損失。

同時，泰爾終端實驗室還發現被檢測的手機銀行APP自身防禦手段較弱，易被破解，安全性較低。有安全專家認為，由於破解成本低，可能會導致被測手機銀行APP出現大量的盜版、山寨版本。

從上述測評結果可知，被測手機銀行APP都存在高危風險。泰爾終端實驗室表示已經將相關漏洞信息反饋各家銀行，普通用戶可關注使用的手機銀行的近期更新，保持最新版本即可。

對於一般的手機銀行APP使用者，泰爾終端實驗室的工程師給出了幾條建議：

1、謹慎使用手機銀行APP執行轉賬等敏感操作；

2、選擇在信息安全防護較強、用戶權益保護良好的銀行辦理金融業務；

3、從銀行官方網站或正規渠道下載手機銀行APP；

4、提高信息安全意識，保護個人隱私數據。

作為一家垂直於信息安全行業的專業新媒體，嘶吼也聯繫了移動互聯網系統與應用安全國家工程實驗室高級安全研究員、安全聯盟反欺詐特約專家朱易翔來分析和點評這份報告，並向開發者提供一些建議。

朱易翔表示，從報告中可以看出，此次被測的手機銀行APP開發過程中存在幾處明顯問題，包括開發過程中缺乏有效的校驗機制、上線前缺乏深度的對抗性安全測試、加固保護方案需要提升等。

從技術角度展開來講，信息安全需要系統化的思維，特別是針對重要產品的安全防護，切忌採用孤立的思維進行設計和實現。

以手機網銀為例:

1. 系統結構上應該包括客戶端和服務端安全

2. 安全屬性上應該包括機密性，完整性，可用性以及其他擴展屬性

3. 從安全防護生命周期上而言，要覆蓋業務流程的每一個環節

4. 從安全體系架構上而言，要覆蓋物理接觸，網路通信，系統介面，運行環境，數據存儲，業務邏輯等每一個層面

對照這樣的安全原則和理念，不難發現，這些手機網銀產品，明顯存在安全隱患。比如，交易請求發起過程中被明顯篡改，系統未能識別和阻斷，竟然可以完成非法交易，這是典型的完整性保護缺失。再深入剖析，不難發現，產品在安全機制設計上，沒有充分考慮運行環境的因素，對運行環境採用了默認的高度信任，這是把自身業務的安全建立在「運行環境完全安全」的基礎上的非系統化思維，事實上大家都知道，安卓系統是開源的，其他軟體獲得系統許可權是非常普遍的現象，這也是產品開發方和服務提供方顯然應該考慮的因素。業界的可信安全思想提出的技術方向，也正是要求專業人士在對運行環境無法完全控制的情況下，更加全面地設計一整套安全機制。

以此分析，行業內也有一些好的案例：如工商銀行手機銀行在進行預交易後，由密碼器隨機數生成密碼的保護技術；招商銀行手機銀行將代碼高度混淆並增加人臉識別的技術；浦發銀行手機銀行在轉賬交易時，對重要交易環節做通信保護等等均可大幅度提高交易安全性等。

另外，從用戶使用的角度，充分考慮用戶使用產品和服務整個過程的安全，也是產品開發方和服務提供方義不容辭的責任。今年，《網路安全法》將開始正式施行，仔細閱讀並理解其中的每一個條款，不難發現，這也是國家層面提出的更高要求，任何人和企業都責無旁貸。

本文為 嘶吼原創文章，如若轉載，請註明來源於嘶吼： 315調查：建行等多家國有銀行手機轉賬現高危漏洞，用戶資金或被非法竊取 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：