首页资讯国内国际社会娱乐明星综艺电影体育足球篮球综合科技通信手机移动财经宏观理财教育历史

银行类APP风险谈:假冒APP常在

2014-12-08 16:35:17    来源:全讯网    编辑:值班编辑

银行类app风险

随着越来越多的人使用手机进行网络交易,各类银行类APP也开始在3亿多网购用户的手机中占领一席之地,但其安全性是否有足够的保证?

官方的中国互联网信息中心(CNNIC)发布的报告显示,截至今年6月,手机网民规模5.27亿,较2013年底增加2699万人。在这当中,使用了手机网上银行APP的用户规模达到1.83亿人,半年间增长了6603万用户,其56.4%的增长速度远远高过网民增长的规模。

大多数手机用户对银行类APP的便利性和功能性点赞。事实上,截至到11月18日,各大主流的安卓平台综合数据显示,建设银行的APP下载量即将突破一亿人次,工行、农行、交行和招行紧随其后——短短数月间银行类APP的下载量增幅还在加大。

但在满足了便捷性和功能性的需求后,银行类APP的安全性又如何?从腾讯手机管家到此前360安全中心以及第三方咨询机构都先后发出提醒:由于其与资金安全的紧密关联,银行类APP仍然面临很多风险,这风险既来自于其本身的安全设计,也有假冒APP防不胜防的因素。

21世纪经济报道记者根据相关技术测试报告和报道整理出银行APP在以下几个方面存在的风险(程度各有不同)和相应的防范提示,希望能让读者在享受移动互联网时代便利的同时注意规避风险。

1.安全系数还需加强

360安全中心今年7月发布《手机银行客户端安全性测评报告》,针对16家银行的APP进行了登录、键盘输入、组件安装、认证等多个环节的安全测试,发现出不少问题。

《360报告》显示,其中至少有两款银行的APP从登录环节便存在隐患:一款APP加密机制不完整或过于简单,导致APP容易被破解,而另一款则在通信过程中缺少对服务端身份校验的步骤,导致登录环节容易被攻击劫持,“由于是与虚假的服务器进行通信,因此,所有通信内容事实全部都可以被‘中间人’获得和解密”。

而在认证环节,16款银行APP都是采用“账号密码+短信动态验证码”的方式对用户进行身份认证,但《360报告》指出,当手机被有拦截短信功能的手机木马攻击时显得很脆弱。

作为应对,已有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但在简单的“账号密码+短信验证”的方式面前还不是足够便捷,因此目前还未成为APP使用的强制性认证方式。

2.假冒APP风险常在

《360报告》指出,另外也有不少手机在反盗版这个环节存在欠缺,16款APP中有15款均有盗版版本,有的甚至有20个以上的不同盗版版本。《报告》指出,16款APP均不具备防止逆向分析和二次打包的能力,有些存在手机签名漏洞,这为篡改APP或二次打包APP创造了可能。

腾讯手机管家的《第三季度手机安全报告》就提到,其于11月26日截获了一个冒充成正常建设银行APP的手机病毒程序,用户登陆后会收到页面的提示,要求输入银行卡、账户密码等信息。

在完成输入之后,这个假冒成建行APP的病毒程序会自动退出,并从手机桌面消失。但这个病毒程序实际上还在后台运行,并将用户所填写的银行卡账号、密码等信息发送至指定号码中,诈骗者就很容易利用这些信息对用户的银行卡账户进行盗刷。

3.明辨APP来源

第三方的艾媒咨询今年5月发布的报告也给出数据,仅以一季度的统计,手机病毒传播的途径包括论坛和应用市场,因此用户在下载或更新来自论坛和应用市场的银行APP时需要明智地辨别其安全程度。

根据这份报告,一季度感染手机支付类应用中,银行APP受害比例为13.6%,排入前三,仅次于电商支付平台APP和理财产品的APP。多家媒体的报道假冒APP诈骗案例时都提醒,下载和更新银行APP时,一定要从官方网站等渠道进行操作。由于如今伪基站已经可以冒充银行官方账号向用户发布短信,用户也尤其需要仔细辨别短信中银行网址信息是否正确。

今日推荐
精选图文
网友最喜欢看
首页头条
24小时排行榜
  • 网罗港澳手机版二维码
  • 爱网购返利网二维码
网站许可证号: 粤ICP备18136297号|Copyright 网罗港澳 All Rights Reserved 版权所有 复制必究