文|Debbie

3月22日訊，近年來，伴隨移動支付的迅猛發(fā)展，很多金融機構也跟著互聯(lián)網(wǎng)發(fā)展的大潮紛紛推出了各自的金融客戶端應用程序，即手機銀行APP。與之相伴的移動金融支付的安全問題，諸如：釣魚詐騙、信息泄露、資金盜取等也在不斷爆發(fā)。

自今年以來，國內(nèi)已經(jīng)發(fā)生過多起通過手機銀行APP盜取客戶信息及資金的情況。其實，部分手機銀行APP在邏輯設計及流程設計時可能存在一定的缺陷，導致黑客可以識別轉(zhuǎn)賬、匯款時的敏感函數(shù)，繼而將客戶的交易數(shù)據(jù)篡改為黑客指定的賬戶，造成本應轉(zhuǎn)給正常用戶的資金被轉(zhuǎn)到黑客的賬戶，此類情況會造成個人用戶或企業(yè)客戶的巨大經(jīng)濟損失。

部分手機銀行APP存在的高危漏洞，使得用戶在進行轉(zhuǎn)賬交易時，黑客能夠通過一定的技術手段劫持用戶的轉(zhuǎn)賬信息，從而導致用戶的轉(zhuǎn)賬資金被非法竊取。同時，也可以體現(xiàn)手機銀行APP自身防御手段較弱，易被破解，安全性較低。

部分手機銀行APP可能存在以下問題：

一是交易數(shù)據(jù)可被篡改：手機銀行APP在運行過程中，用戶進行轉(zhuǎn)賬、匯款等交易時的賬號，開戶行等敏感數(shù)據(jù)信息在寫入移動終端內(nèi)存時，可被黑客利用技術手段進行篡改，使得原本要轉(zhuǎn)給親友或企業(yè)的資金被轉(zhuǎn)入黑客指定的賬戶;

二是關鍵Activity組件容易被劫持:手機銀行APP關鍵組件不具備防止進入后臺或提示用戶等相關功能，黑客可以對登錄或支付界面進行劫持替換，用戶的敏感數(shù)據(jù)存在被竊取的風險。黑客可以在本地監(jiān)聽用戶的狀態(tài)，當用戶登陸或者輸入交易密碼時，彈出偽造的界面誘騙用戶輸入正確的賬號口令，從而竊取用戶信息;

三是抗逆向分析能力不足：通過使用反編譯工具、反匯編軟件對手機銀行APP進行反編譯，發(fā)現(xiàn)手機銀行APP可被反編譯并且泄露出大量有效代碼。黑客能夠通過反編譯，在客戶端程序中植入木馬、惡意代碼以及廣告等，客戶端程序如果沒有自校驗機制，黑客可以通過篡改客戶端程序竊取手機用戶的隱私信息;

四是能夠被重新編譯二次打包：對手機銀行APP進行反編譯后，通過修改代碼、XML、資源文件并對其重編譯二次打包，重打包后的手機銀行APP能夠正常運行。黑客通過在手機銀行APP程序中植入惡意代碼或廣告等，竊取手機用戶的資金或隱私信息;

五是可以進行動態(tài)調(diào)試：手機銀行APP可以通過GDB、IDA等調(diào)試器進行動態(tài)調(diào)試，黑客可利用GDB或IDA等調(diào)試器跟蹤運行程序，并且執(zhí)行查看、修改內(nèi)存中的代碼和數(shù)據(jù)等行為，從而獲取用戶的敏感信息;

六是代碼允許任意備份：手機銀行APP代碼允許任意備份，黑客通過備份應用程序獲得用戶的敏感信息;

七是在發(fā)布版本中留存測試用的組件或賬號信息：有些手機銀行APP在發(fā)布版中留存了測試用的組件或賬號信息，直接暴露服務器接口的調(diào)用參數(shù)，這樣大大降低了逆向分析者的工作難度，甚至還可能泄露測試用賬戶，給用戶帶來極大安全隱患。

所以，用戶在使用手機銀行APP時，在進行轉(zhuǎn)賬等敏感操作時，應當謹慎小心，要從銀行官網(wǎng)或是正軌渠道下載手機銀行APP，提高安全意識，保護個人隱私。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。