近日,最新发布的《手机银行客户端安全性测评报告》显示,16款手机银行App均存在被不法分子恶意篡改的安全风险,安全状况不容乐观。之前小编已经给大家介绍了如何防范手机银行App风险。同时,爱加密(www.ijiami.cn)安全专家也建议用户,使用手机银行App时一定要注意账户安全。
此次报告主要针对工商银行、建设银行、招商银行、交通银行、中国银行、农业银行等中国16家主流银行的安卓手机客户端展开了一次全面安全性测评。测试内容主要包括,Activity组件安全性、登录机制安全性、键盘输入安全性、进程注入防护、反盗版能力和认证因素安全性六个主要方面的八项具体测试。
手机银行客户端易被盗版山寨
统计显示,本次测评的16款手机银行App中,多数存在盗版现象,个别客户端甚至有20个以上不同的盗版版本。
测试中发现,这16款手机银行客户端软件采用的均是“账号密码+短信验证码”的伪双因素认证体系。这种认证体系在受到具有短信劫持功能的手机木马攻击时易显得脆弱。虽然已有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。
多款手机银行登录即存隐患
登录作为用户使用手机银行客户端的第一步,因为要输入银行账号及密码等敏感信息,安全性尤为重要。在对16款手机银行客户端登录机制安全性测评的过程中,发现了两类比较严重的安全隐患:一类在通信过程中不对服务端身份进行校验,从而导致登录过程易被“中间人攻击”所劫持;另一类是加密机制不完整或过于简单,易被攻击者劫持或破解。
爱加密技术人员指出,不论使用的是何种登录加密机制,如果客户端在登录过程中不对服务端的身份(证书)进行校验,就有可能“信任”伪装身份的“冒牌服务端”,连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。
爱加密定制服务破解移动支付安全难题
爱加密专门针对移动支付类App应用,做了一个专项的定制服务,在制定每套方案之前都会对应用进行全方位的安全评估,确保所制定的方案可以全方位、专业化地保证App的安全。而且每启动一个定制解决方案,就有一名专业技术和一名商务人员全程跟踪负责,解答技术难题和商务问题,做到始终提供一流的技术支持和专业的管家式服务支持。
同时,团队独创设计的“DEX加壳+SO库保护+高级混淆”三层保护技术,最大化地保护移动支付类App的安全。并且在手机适配上是目前最优秀的,测试手机超过1000款,兼容性得到完美保证。而且还支持x86、安卓4.4版本和art模式,使用加密后应用运行不会受到任何影响,也不会影响用户体验。
上一篇: 爱加密分享:四招轻松识别山寨App