403 Forbidden
403 Forbidden
nginx/1.4.4新民晚报数字报-手机银行APP不安全
B15：陆家嘴金融城/网上网下
本版列表新闻
国内首份手机银行APP安全报告显示——
手机银行APP不安全
　　本报记者&胡晓晶　　手机银行很方便，但也容易被“钓鱼”。据360手机卫士发布的国内首份手机银行客户端评测报告显示：包括工商银行、建设银行、招商银行、交通银行、中国银行、农业银行等在内，最新参与测评的16家主流银行手机APP均表现不佳，尤其少数手机银行的安卓客户端存在加密机制不完整、不校验服务器身份等安全隐患，有可能被电脑黑客或木马病毒所利用。　　登录阶段就有危险　　登录作为用户使用手机银行客户端的第一步，因为要输入银行账号及密码等敏感信息，安全性尤为重要。但本次测评发现，两类登录安全隐患明显：一类是加密机制不完整或过于简单，很容易被攻击者劫持或破解；另一类是在通信过程中不对服务端身份进行校验，从而导致登录过程很容易遭遇“中间人攻击”。其中，有2款手机网银APP用“HTTP（超文本传输协议）+简单加密”模式传输，极易被劫持或破解。　　据悉，仿冒、钓鱼类的恶意程序很可能会采用这样一种手法：在后台监控前台窗口的运行，如果前台是一个银行应用的登录界面，恶意程序就立即启动自己的仿冒界面，这个动作可以快到用户无任何感知。而用户在无察觉的情况下一旦在仿冒的登录界面里里输入用户名密码，就会导致账号和密码被盗。更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面，而测评中16款手机银行APP没有一家能单独解决这类问题。　　自绘键盘或被山寨　　目前，多数手机银行客户端还会推荐使用自绘键盘，而自绘随机键盘虽能大大提高安全性和黑客攻击的难度，却也不是万无一失。如果手机银行客户端被注入了恶意模块，或者系统模块被恶意代码感染，则攻击者就可以通过Hook替换模式直接获取到密码明文。　　测评显示：手机银行客户端使用最多的安卓组件是Activity（Activity是安卓系统提供给用户屏幕交互用的最常见应用程序组件），而测评的16家银行APP中有1款客户端有严重的Activity导出风险，还有2款客户端则存在Activity导出错误可至系统崩溃的问题。　　密码+短信也不保险　　安卓作为开放平台，攻击者可以较容易地使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件，已对用户的支付安全造成了极其严重的安全威胁。　　测评中，16款手机银行客户端均未能完全有效地防范逆向分析和二次打包，虽然一些客户端对自身签名进行了校验，但也很容易在重打包过程中被攻击者轻易篡改，起不到防止二次打包的作用。　　同时，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，所以绝大多数用户仍然在使用“帐号密码+短信验证码”的认证方式，而实测发现这种传统认证体系在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。　　最新数据显示，我国手机网民已达5.27亿，移动支付半年增长63%，中国消费者已经进入移动支付时代。然而，不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件，已经严重威胁到了移动支付安全。　　来自360互联网安全中心的统计还显示：在本次测评的16款手机银行客户端软件中，有15家均存在被盗版的现象。个别客户端，甚至有20个以上不同的盗版版本；特别是正版下载量越高的网银APP，其遭遇盗版的版本数也越多。手机银行APP方便用，但安全与否也越来越值得银行业和消费者警惕。
新民晚报陆家嘴金融城/网上网下B15手机银行APP不安全“打车软件：支付安全问题浮出水面”、“打车软件在线支付有安全隐患”、“能省钱但也带来安全隐患，你对打车软件是否又爱又恨？”这些是近日各地媒体的社会新闻头条，在手机支付渗透入生活方方面面之时，支付安全确实成为一个不容忽视的大问题。距离中国手机反骚扰反欺诈联盟“移动支付安全峰会”开幕还有6天时间，360手机卫士官方微博发布有关支付安全的系列海报，共同探讨支付安全问题。
打车软件支付环节存安全隐患
上班族晚上下班后使用APP叫车已经成为多数人生活的一种常态。事实上，石家庄生活频道《法治时间》栏目对打车软件的支付安全问题作了专题报道，报道称，使用打车软件进行结算支付时，会跳转至其他支付平台，一旦手机丢失，就有可能出现安全隐患。
图1：打车软件支付环节暗藏风险
石家庄邮电职业技术学院教授孙青华表示，如果用户的手机里有解析用户行为的木马，发生盗刷的可能性就非常大。打车软件不是保险箱，一旦出了差错，惹来麻烦的却是自己。对此，360手机安全专家建议，为了防范手机丢失或被盗后，手机账户被不法分子盗刷所带来的损失，用户应该尽量在手机里安装360手机卫士等安全软件。安全专家还提醒，在享受打车软件便利的同时，在支付环节还得多加谨慎。
业内专家认为，虽然打车时用手机支付是小额支付，但现在黑客水平高，钓鱼软件多，不可否认，风险总是客观存在的。而如果用户遭受到了切实的利益损失，用户、移动支付、打车软件三方的归责与界定是不清楚的，客观上也带来了安全问题无处追责的风险。
事实上，无论是何种移动支付方式，手机支付的安全问题仍然是打车软件发展道路上必须跨越的一道鸿沟，用户现金被盗刷的现象使用户叫苦不迭，快捷下的产物“不安全”是每个用户应该谨慎注意的问题，更是每个厂商应该关注的问题。
移动支付安全峰会关注手机支付安全
据360互联网安全中心发布的数据显示，截至2014年12月，我国网民规模达6.49亿，其中手机网民规模达5.57亿，手机支付用户规模达到2.17亿，增长率为73.2%。手机网购、手机支付、手机银行等手机商务应用用户年增长分别为63.5%，73.2%和69.2%，远超其他手机应用增长幅度。其中，手机支付年增长幅度最大。
与此同时，大量手机木马作者专门针对手机支付“下手”，导致手机支付这种方便日常生活的支付方式充满安全隐患。使用手机管理资金的用户与日俱增，资金在移动端的安全性问题也越发引人关注。专家表示，安全性是移动支付发展面临的首要瓶颈。业内人士呼吁，必须从技术上克服安全性、客户匿名性、业务合规性等一系列难题，为移动支付产业稳定健康发展提供良好的技术基础、完善的产业配套及制度环境。
今年中国中国手机反骚扰反欺诈联盟的“移动支付安全峰会”即将在6天之后召开，此次峰会以“全力以‘付’”为主题，预示着360手机卫士将在支付安全问题上全面发力，协同网安、媒体、支付厂商、电商、O2O厂商一起为手机支付提供闭环保护。
移动支付安全峰会报名地址： /
文章来源: 中国网欢迎您， ！|
|｜||||||||||||||||||||||||
&&&&>> &正文
移动APP支付面临巨大挑战,安全成发展“命门”
来源：互联网
作者：佚名&&&
字体：&&&&中金在线微博微信
扫描二维码
中金在线微信
　　依据《中国第三方网络支付安全调研报告》,现如今移动互联网的飞速发展,网络支付为人们带来极大便利,APP的安全性也一直备受关注。山寨APP一方面,用户的身份、银行财产等相关数据和手机应用的绑定越来越紧密,另一方面,伺机而动的黑客们也抓住了这送上门的机会,在移动支付领域兴风作浪,将黑手伸进手机钱包甚至银行账户里面,移动支付安全面临巨大挑战。
　　据业内人士表示,当前阶段移动支付安全问题,已经成为整个行业的痛点,甚至是制约整个行业良性发展的绊脚石。据有关数据显示,目前在网民面临的各类安全问题中,“账户密码被盗”和“遭遇木马钓鱼”造成资金损失的占比分别达到33.9%和24%,成为网民支付安全的大敌。
　　安全问题成移动支付行业的痛点
　　2013年手机支付毒王“银行悍匪”在央视的多次曝光下终于消停下来,然而,其变种“银行刽子手”却没有给手机APP任何喘息的机会,升级后卷土重来,理财金融类APP再起风波,短暂的安宁再次被打破。
　　“银行刽子手”是金融理财类、银行支付类App盗贼团的主要头目之一,目前已发现多家银行及支付宝图标被不法分子盗用制作成恶意程序“银行刽子手”,伪装成正常手机银行应用和移动应用后藏匿在各大知名应用软件及手机论坛中。该病毒的隐蔽性丝毫不输给“毒王”,用户一旦下载伪装应用后,改恶意软件会强制诱骗用户开启设备管理器,诱使用户输入姓名、银行卡号、身份证号、交易密码等私密信息,并将其上传至服务器,轻松窃取用户银行账号和支付账号中的资金,同时隐蔽并转发银行和淘宝的交易短信,整个盗窃过程非常隐蔽,用户难以发现。前段时间央视报道广州一女士因该病毒造成了千万元的巨额财产损失。
　　安全隐患重重,移动支付的终端应用加密成破局关键
　　移动应用安全保护平台爱加密()CEO表示,短信劫持、支付木马、电信诈骗等安全隐患,已经在移动支付领域迅速蔓延,成为制约移动支付产业良性健康发展的关键。从以往发生的多起银行卡被盗刷事件来看,如果开发者对自己的应用进行加密保护,就可以降低移动支付对用户带来的信息、财产威胁,避免用户损失,这是支付类APP推广的制胜法宝。
　　目前来说,仅通过常规的那些加密方法已经无法从根本上保证移动支付应用的全面安全性。因此,必须采用加密技术给APP加上一层保护壳,防止沦为黑客的“作案工具”。值得注意的是,爱加密专门针对移动支付类APP应用,做了一个专项的定制服务,根据移动支付APP的类型进行针对性保护,提供全面的安全评估及处理建议。
　　爱加密技术总监向编者介绍,他们团队独创设计的“DEX加壳+so库保护+高级混淆”三层保护技术,最大化的保护金融理财类APP的安全。并且在手机适配上是目前最优秀的,测试手机超过1000款,兼容性得到完美保证。而且还支持x86、安卓4.4版本和art模式,使用加密后应用运行时不会受到影响,也不会影响用户体验度。
　　更值得一提的是,在制定方案之前都会对系统使用键盘和输入法攻击,界面截取,储存本地数据窃取、用户隐私窃取,反编译源码,网络交互协议抓取等方面进行专业的安全评估,确保所制定的方案可以全方位、专业化地保证App的安全。而且每启动一个定制解决方案,就有一名专业技术和一名商务全程跟踪负责,解答技术难题和商务问题,做到始终提供一流的技术支持和专业的管家式服务支持。
责任编辑：JoJo
注意！！！大盘走势暴露主力玄机？这些股票的买入机会来了！资深分析师教你如何操盘，精选个股，为您提供最有实战价值的股票资讯，还在等什么？关注天信投资微信号，为您深度解读大盘波动幕后玄机。
微信关注方法：1.扫描左侧二维码；2.搜索"天信投资"（TXTZ1996）关注天信投资微信。
我来说两句
24小时热门文章
栏目最新文章
频道文章精选
证金重仓的股
赞助商链接
赞助商链接
中金在线声明：中金在线转载上述内容，不表明证实其描述，仅供投资者参考，并不构成投资建议。投资者据此操作，风险自担。
[an error occurred while processing this directive]
微信扫描二维码，体验微行情服务，速查股票、利率、贵金属行情