如今手机银行客户端已是网上交易的重要支付工具。但作为与移动支付安全息息相关的关键对象,手机银行客户端确实存在不小安全隐患。日前,某手机安全中心发布国内首份针对16家主流银行手机客户端(APP)的评测报告——《手机银行客户端安全性测评报告》。经测试发现,少数手机银行客户端存在加密机制不完整,不校验服务器身份等安全隐患。在防范Activity劫持、防止进程注入、反盗版、防二次打包以及防止验证短信被劫持等方面,所有16款被检测的手机银行客户端均表现不佳。报告指出,受安卓系统的体系限制,很多支付安全性问题难靠手机银行客户端软件单独解决,银行类手机APP整体安全状况堪忧。
上述报告针对16家主流银行安卓手机客户端,展开最全面安全性评测。测试的主要内容包括:登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性六个方面的三项具体测试。
测试异常1:不校验身份或被“攻击”。在对16款银行客户端登录机制安全性进行测评过程中,手机安全专家发现两类比较严重的安全隐患:一是加密机制不完整或过于简单,很容易被攻击者劫持或破解;二是在通信过程中不对服务端身份进行校验,导致登录过程很容易被“中间人攻击”所劫持。其中,有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式,极易被劫持或破解。
测试异常2:银行类APP极易被山寨。安卓作为开放平台,攻击者可较容易使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码后,发布到一些审核不严的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成极严重的安全威胁。
测试异常3:手机支付病毒暴增。移动安全实验室日前发布《2014年上半年手机安全报告》,Android手机病毒在经历2012—2013年几何式高速增长后,2014年上半年逐步趋于平缓,同比增长7.9%。其中,手机支付类病毒进一步蔓延,上半年感染手机支付类病毒用户数达693.4万,其中可拦截并转发用户支付短信验证码的手机病毒大规模增加,支付类病毒呈现多种特征融合化发展趋势。
从以上情况看,无论银行客户端自身安全,还是外在恶意软件侵袭,都对移动平台用户数据安全造成很大影响,尤其恶意软件的危害,很多时候是致命的。它可以篡改收费信息,将收费改为免费,并窃取核心程序代码。想要保护移动支付安全,就要对数据加密防护。多模加密技术是最好的选择,在确保加密质量的同时,其多模特性能让用户自主选择加密模式,灵活应对各种防护需求和安全环境。endprint