文|中國信息通信研究院CAICT 泰爾終端實驗室
3月16日訊,近年,移動支付發(fā)展迅猛,各家金融機構(gòu)也伴隨著移動互聯(lián)網(wǎng)發(fā)展大潮紛紛推出了各自的金融客戶端應(yīng)用程序(這里主要指手機銀行客戶端應(yīng)用程序,以下簡稱“手機銀行APP”),由此,移動金融支付的安全問題也不斷爆發(fā):釣魚詐騙、信息泄露、資金盜取等。中國信通院泰爾終端實驗室一直關(guān)注各類移動終端應(yīng)用軟件的安全性能,近期依據(jù)相關(guān)標準對多款基于安卓操作系統(tǒng)的手機銀行APP進行了安全測評,結(jié)果不容樂觀。
今年以來,國內(nèi)已經(jīng)發(fā)生多起通過手機銀行APP盜取客戶信息及資金的情況。中國信通院泰爾終端實驗室的工程師近期針對基于安卓操作系統(tǒng)的多款手機銀行APP安全性進行了較為全面的分析評測,涉及中國銀行、中信銀行、建設(shè)銀行等國內(nèi)多家大型商業(yè)銀行。測評內(nèi)容包括:通信安全性、鍵盤輸入安全性、客戶端運行時安全性、客戶端安全防護、代碼安全性和客戶端業(yè)務(wù)邏輯安全性等6個方面的39項內(nèi)容。
手機銀行APP在邏輯設(shè)計及流程設(shè)計時可能存在一定的缺陷,導(dǎo)致黑客可以識別轉(zhuǎn)賬、匯款時的敏感函數(shù),繼而將客戶的交易數(shù)據(jù)篡改為黑客指定的賬戶,造成本應(yīng)轉(zhuǎn)給正常用戶的資金被轉(zhuǎn)到黑客的賬戶,此類情況會造成個人用戶或企業(yè)客戶的巨大經(jīng)濟損失。
實驗室的工程師通過實驗發(fā)現(xiàn)此次測試的手機銀行APP普遍存在高危漏洞,用戶在進行轉(zhuǎn)賬交易時,黑客能夠通過一定的技術(shù)手段劫持用戶的轉(zhuǎn)賬信息,從而導(dǎo)致用戶的轉(zhuǎn)賬資金被非法竊取。同時,工程師還發(fā)現(xiàn)被檢測的手機銀行APP自身防御手段較弱,易被破解,安全性較低。
部分手機銀行APP存在的問題如下:
(1)手機銀行APP交易數(shù)據(jù)可被篡改
手機銀行APP在運行過程中,用戶進行轉(zhuǎn)賬、匯款等交易時的賬號,開戶行等敏感數(shù)據(jù)信息在寫入移動終端內(nèi)存時,可被黑客利用技術(shù)手段進行篡改,使得原本要轉(zhuǎn)給親友或企業(yè)的資金被轉(zhuǎn)入黑客指定的賬戶。
(2)手機銀行APP運行時關(guān)鍵Activity組件容易被劫持
手機銀行APP關(guān)鍵組件不具備防止進入后臺或提示用戶等相關(guān)功能,黑客可以對登錄或支付界面進行劫持替換,用戶的敏感數(shù)據(jù)存在被竊取的風險。黑客可以在本地監(jiān)聽用戶的狀態(tài),當用戶登陸或者輸入交易密碼時,彈出偽造的界面誘騙用戶輸入正確的賬號口令,從而竊取用戶信息。
(3)手機銀行APP抗逆向分析能力不足
實驗室的工程師使用反編譯工具、反匯編軟件對手機銀行APP進行反編譯,發(fā)現(xiàn)手機銀行APP可被反編譯并且泄露出大量有效代碼。黑客能夠通過反編譯,在客戶端程序中植入木馬、惡意代碼以及廣告等,客戶端程序如果沒有自校驗機制的話,黑客可以通過篡改客戶端程序竊取手機用戶的隱私信息。
(4)手機銀行APP能夠被重新編譯二次打包
實驗室工程師對手機銀行APP進行反編譯,通過修改代碼、XML、資源文件并對其重編譯二次打包,重打包后的手機銀行APP能夠正常運行。黑客通過在手機銀行APP程序中植入惡意代碼或廣告等,竊取手機用戶的資金或隱私信息。
(5)手機銀行APP可進行動態(tài)調(diào)試
手機銀行APP可以通過GDB、IDA等調(diào)試器進行動態(tài)調(diào)試,黑客可利用GDB或IDA等調(diào)試器跟蹤運行程序,并且執(zhí)行查看、修改內(nèi)存中的代碼和數(shù)據(jù)等行為,從而獲取用戶的敏感信息。
(6)手機銀行APP代碼允許任意備份
手機銀行APP代碼允許任意備份,黑客通過備份應(yīng)用程序獲得用戶的敏感信息。
(7)在發(fā)布版本的手機銀行APP中留存測試用的組件或賬號信息
一些手機銀行APP在發(fā)布版中留存了測試用的組件或賬號信息,直接暴露服務(wù)器接口的調(diào)用參數(shù),這樣大大降低了逆向分析者的工作難度,甚至還可能泄露測試用賬戶,給用戶帶來極大安全隱患。
總結(jié)
從上述評測結(jié)果可知,被測手機銀行APP都存在高危風險,建議相關(guān)銀行采取更加安全的APP加固解決方案,同時增加應(yīng)用分發(fā)渠道監(jiān)控,第一時間監(jiān)測盜版、篡改應(yīng)用發(fā)布上線;增加應(yīng)用自身完整性校驗功能,檢測到應(yīng)用被篡改后,及時提醒用戶卸載非法應(yīng)用或者自動進行更新修復(fù)。對于一般的手機銀行APP使用者,實驗室的工程師建議:
(1)謹慎使用手機銀行APP執(zhí)行轉(zhuǎn)賬等敏感操作;
(2)選擇在信息安全防護較強、用戶權(quán)益保護良好的銀行辦理金融業(yè)務(wù);
(3)從銀行官方網(wǎng)站或正規(guī)渠道下載手機銀行APP;
(4)提高信息安全意識,保護個人隱私數(shù)據(jù)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 馬云現(xiàn)身支付寶20周年紀念日:AI將改變一切,但不意味著決定一切
- 萬事達卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調(diào)收集虹膜數(shù)據(jù)引來歐洲監(jiān)管調(diào)查
- 華為孟晚舟最新演講:長風萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會2023在上海開幕 攜手共建數(shù)智金融未來
- 移動支付發(fā)展超預(yù)期:2022年交易額1.3萬億美元 注冊賬戶16億
- 定位“敏捷的財務(wù)收支管理平臺”,合思品牌升級發(fā)布會上釋放了哪些信號?
- 分貝通商旅+費控+支付一體化戰(zhàn)略發(fā)布,一個平臺管理企業(yè)所有費用支出
- IMF經(jīng)濟學(xué)家:加密資產(chǎn)背后的技術(shù)可以改善支付,增進公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國銀行業(yè)祭出限額措施
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。