导语:最近嘶吼收到一份来自工信部旗下泰尔终端实验室的研究报告,其针对国内多款手机银行APP进行安全测评,发现有数款存在严重安全隐患,结果不容乐观。
朋友的手机银行被盗,转走十几万!! 手机银行被盗,惊心动魄15分 男子三张卡绑定手机银行被盗 4分钟27万被转走
上面几个标题对大家来说应该不陌生,近几年因手机银行的普及和社交网络的传播,时常有类似的事件刷屏。
这只是我在搜索引擎检索“手机银行+被盗”随便摘取的几条。在Google、百度上搜索它们,显示找到的结果条目分别为323万、352万个,数目惊人。
作为新兴领域的附加品,这些手机银行被盗案例大多都没有没法追回被盗的钱,损失由用户承担。可供用户实践的有效建议非常地概念化,比如“不要泄露个人隐私信息”、“保持安全的手机使用习惯”等等,许多案例最后都陷入了扯皮,难以界定责任。
但除了用户责任外,其实交易中间方的银行也很可能有责任,只是我们平常难以去发现。
最近嘶吼收到一份来自工信部旗下泰尔终端实验室的研究报告,其针对国内多款手机银行APP进行安全测评,发现有数款存在严重安全隐患,结果不容乐观。
根据泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》显示,他们针对中国银行、中信银行、建设银行等国内多家大型商业银行的Android端手机银行APP进行分析后发现:
此次测评的APP普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。
用人话说,就是当你被攻击者盯上后,你在使用中行、中信、建行等银行的手机银行Android APP进行转账,明明对方的卡号、姓名、开户行填写后反复检查没问题,短信提示也显示正确,但转完账一查交易记录,欸…刚刚的钱怎么转给一个陌生名字了?一脸懵。
当然,要实现这样的高难度骗局,也需要一定的条件,大家不用过于恐慌。为避免被恶意利用,漏洞细节暂未公开,泰尔表示已反馈到相关银行进行修补。
除篡改转账账号漏洞外,报告还提到,部分手机银行APP的关键组件没有界面劫持防护。攻击者可以在手机银行的登录、支付页面弹窗,伪造同样的界面,如果用户继续操作下去,填写的账号密码信息便全部泄漏给攻击者了。
此外,报告中还发现,被检测的手机银行APP自身防御手段较弱,易被破解,安全性较低。即使水平不高的攻击者,也可以轻松破解它们,了解每个敏感操作的位置并去植入恶意代码。注毒的APP被二次打包发到网上,下载的人可就要惨了,看着和官方版一模一样,用了钱和私密信息就都丢了。
从整份报告来看,国内的大多数手机银行APP在安全上仍需提高,官方应多关注用户实际使用环境和黑产动向,能接上地气真正落实用户痛点。报告发布前,泰尔终端实验室已经将相关漏洞信息反馈给相关银行。嘶吼将持续关注事件进展。
说点题外话,在手机支付之前,过去的银行卡支付、网银支付都曾经历过长久的安全演进。最老的磁条卡,在现在看来安全方面可谓是简陋极了,窃取信息、复制、盗刷都非常简单,但如果你现在无论是用磁条卡还是芯片卡,只要卡没丢,用户不用负盗刷责任。手机银行是否可能打造出类似的环境?期待之。
用户安全建议
1、从正规应用市场或官方网站下载APP
2、尽量选择安全口碑较好、用户权益保护良好的银行办理业务
3、谨慎使用手机银行APP执行转账等敏感操作,大额转账后应和对方确认
4、提高信息安全意识,保护个人隐私数据