陈翔刘美含“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系,在面对具有短信劫持功能的手机木马时,都显得非常脆弱。”一位安全专家告诉记者,今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马,表面看与银行手机客户端的登录界面一模一样,当用户登录时木马就会提示“系统升级中请稍候”,实际上此时,木马正在向一个“”的神秘号码发送激活短信。
CNNIC(中国互联网络信息中心)最新发布数据显示,截至2014年6月,我国移动支付用户规模达到2.05亿,半年度增长率为63.4%,网民手机支付的使用比例已提升至38.9%。
消费正在迈入移动支付时代,移动支付的安全性如何?昨天,360互联网安全中心发布了《2014年第二期中国移动支付安全报告》,最重要的内容是对目前平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们:你正在使用的银行手机客户端没那么安全。
“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国告诉记者,测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试,“常全面的一次安全性测评。”
手机银行客户端作为网上支付的重要工具, 其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到,这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高,但在后面几项关键性测评中所有APP都拿了零分。
“为避免具体测试方法和银行客户端漏洞被人恶意利用,我们暂时不会公开每个银行客户端的具体测评结果及试细节。”360互联网安全中心相关负责人透露,秘密报告目前已经提交给了各家银行,也会做后续跟进。
在测评中拿分最高的是登录环节,16款银行手机客户端中9款有加密机制,有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的?
“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系,在面对具有短信劫持功能的手机木马时,都显得非常脆弱。”一位安全专家告诉记者,今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马,表面看与银行手机客户端的登录界面一模一样,当用户登录时木马就会提示“系统升级中请稍候”,实际上此时,木马正在向一个“”的神秘号码发送激活短信。
然后,黑客使用控制号码向感染木马的手机发送一条短信, 向银行服务器请求一个授权码。银行服务器系统发送这样一条短信,原本是要手机客户端与特定号码绑定。如果用户在手机银行客端确输入了这个授权(有些软件会自动检测授权码短信),那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须授权短信只有使用该手机号码户能够看到。如被拦截案例中这样,木马程序会窃取并劫持授权短信的话,那就十分了——这意味着你收到的短信,黑客也能看到。
“后来我们查到这是一个福建泉州的联通手机号。”这位安全专家直言,虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。
更的是,一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示,在16款手机银行客户端软件中,没有任何一款客户端能单独解决这类问题。
16款下载最多、使用最广的银行手机客户端都有安全漏洞,普通用户如何来分辨呢?对普通用户来说,你只能选择使用或不使用,却无法自己使用的银行手机客户端足够安全。
“键盘输入安全性较高的是自绘随机键盘,这个比较容易判断,打开银行客户端输入密码时,每次弹出来的键盘都不一样的就是自绘随机键盘。”360安全专家万仁国说,除了银行外,像证券等行业应用也会使用自绘随机键盘,“自绘随机键盘的使用肯定会增加客户端的开发成本,但在被评测的16款银行客户端中使用率不高不一定是成本原因,也有可能是设计人员没有考虑到,但判断一个银行客户端的安全性高低不仅仅从密码输入判断,还需要整体分析。”
事实上,提高银行手机客户端的安全还不够,因为手机系统本身也有漏洞,很容易被,网民手机支付的使用比例正在以每年20%左右的速度增加,移动支付的安全问题需要引起更多关注了。