多款手机银行App存被恶意篡改的安全风险

　　最新数据显示，我国手机网民已达5.27亿。伴随着移动支付的兴起，越来越多的手机成为“第二钱包”。手机银行客户端与支付安全息息相关，然而这些涉及财产安全的手机软件却极易被盗版。360互联网安全中心近日发布了《手机银行客户端安全性测评报告 (暨2014年中国移动支付安全报告第二期)》，该《报告》对工商银行(601398，股吧)、建设银行(601939，股吧)、招商银行(600036，股吧)、交通银行(601328，股吧)、中国银行(601988，股吧)、农业银行(601288，股吧)等国内16家主流银行手机客户端进行评测发现，银行类手机App整体安全状况堪忧，多款手机银行App存在被恶意篡改的安全风险，个别App甚至有20个以上不同的盗版版本。

　　《报告》称，在16款银行客户端的登录机制安全性测评中，暴露了两类比较严重的安全隐患：一是加密机制不完整或过于简单，很容易被攻击者劫持或破解。报告显示，进行评测的手机银行客户端采用的均是“账号密码+短信验证码”的认证体系，但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。另一类是在通信过程中不对服务端身份进行校验，导致登录过程很容易被“中间人攻击”所劫持。

　　安全中心评测发现，手机银行有7项漏洞易被黑客利用，依次为：假冒银行服务端，实施“中间人”攻击；后台记录键盘位置，窃取密码；恶意导出用户界面，网银账户信息“裸奔”；仿冒登录界面，钓走账号密码；利用安卓系统漏洞，渗透网银客户端；二次打包制造盗版，主流客户端难防御；短信劫持获取验证码。

　　同时，据360互联网安全中心数据统计显示：本次测评的16款手机客户端软件中，除了一家银行之外，其他银行的手机网银客户端软件均存在盗版现象，个别客户端甚至有20个以上不同的盗版版本。总体而言，正版下载量越高的网银App，盗版版本数也相对较多。“安卓作为开放平台，攻击者可以较容易地使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件，对用户的支付安全造成了极其严重的安全威胁。”中国互联网协会相关人士表示。

　　360手机安全专家提醒，防止盗版的一种方法是对手机银行客户端进行签名校验，但最稳妥的方法是进行加固处理，即使用手机安全软件等第三方监测工具提升安全性。