《2012手机银行客户端报告》出炉安全成热点
你给手机装上银行app了吗 日前,网易财经发布了《2012手机银行客户端评测报告》(以下简称《报告》)。《报告》调查显示,57%的受访者出于安全因素,拒绝使用手机银行客户端。《报告》唯一指定的安全顾问360手机卫士指出,在已root或越狱的手机中,目前所有的手机银行客户端基本都没有有效防护措施。安全成为银行客户端的关注焦点。 据了解,自交通银行于2009年11月推出首款ios客户端以来,中国已有50家银行推出手机银行客户端。通过手机端产生的交易额也随之迅猛增长,但手机端的安全问题却愈发让人们担忧。《报告》对手机银行安全上的评估主要围绕 “窃取用户的账户和密码”展开, 360手机卫士认为,防范措施中ssl加密协议安全性最高,自定义加密协议、自定义键盘输入密码次之,自定义密码输入控件安全性最低。 防窃听卓有成效 应对办法颇多 《报告》披露,目前网络中常见窃取网银账户和密码的手段共有三种:网络窃听传输的账户密码、从客户端窃取用户输入、破译客户端保存的账户密码。由于手机网银客户端没有保存密码功能,所以前两种成为最常见的手段。 针对第一种网络窃听窃取账户密码行为,目前主要的防范方法是传输内容加密。同时《报告》指出,网络协议的安全性对传输安全性的影响也很大,不恰当设计的网络协议,极有可能留下安全漏洞,给犯罪分子可乘之机。令人欣慰的是,目前安全性最高的商业加密协议ssl协议已经被业内广泛采用,同时也有其他较为简单的自定义加密协议。 第二种从客户端窃取账户密码行为中,主要的防范方法是防键盘钩子、防内存读取。目前,在android和ios客户端中输入账户密码,都必须通过输入法来实现。但《报告》称,不法分子可以通过二次打包的方式将恶意代码注入输入法,从而窃取用户输入记录。目前的应对方式是提供自定义键盘来输入账号密码,并且已经有部分银行采取该方式。 细节欠缺 客户端功能需完善 而对于已root的android手机和越狱后的ios手机上,窃取网银账号密码的行为目前仍还没有有效的预防措施。如恶意程序通过内存读取的方式可以直接窃取这类手机用户输入的密码。即使自定义密码输入框起到了一定防护作用,但是如果有专门针对该网银客户端的木马,其仍然可以成功窃取用户密码。据了解,中国银行日本版ios客户端提供了检测iphone是否已越越的风险提醒功能,起到一定安全提示作用,但国内版本还没有提供类似功能。 最后,《报告》通过综合评测以及360手机卫士提供的安全性评分,在中国18家主要商业银行手机客户端中得出的结论:在android客户端中,平安银行和浦发银行表现较为出色;ios客户端方面,各家银行的安全性差距不大,但或多或少存在安全隐患。为此,专家建议用户最好安装杀毒软件,对于已经root或越狱后的手机用户,更要及时更新病毒库,以免造成不必要的经济损失。 |