通过网上购买个人身份证信息和手机银行登录密码,几名犯罪嫌疑人破解11人的手机银行密码,盗取存款高达300万,手机银行客户端的安全问题再次敲响警钟。360互联网安全中心发布的《2014年第二期中国移动支付安全报告》指出,国内主流安卓系统手机银行客户端普遍存在多种安全隐患,极易成为黑客的攻击目标。
图:手机银行客户端安全性测评结果
个人信息泄露成盗刷入口
数据显示,2014年是我国移动支付大跨步迈进之年,用户规模达2.05亿,半年增长率为63.4%。移动支付规模飞速增长的同时,不法分子也盯上了手机银行,试图通过破解手机银行密码、复制手机卡等手段盗取他人存款。湖南省几名犯罪嫌疑人就是通过网上购买200万条个人身份证信息和手机银行登录密码后,破解其中11人与银行卡绑定的手机号码和账户密码,异地补办被害人手机卡最终共盗刷300余万元。
个人信息通过互联网大批量兜售,手机银行客户端被他人登录盗取钱财,手机银行客户端的安全性令人堪忧。《2014年第二期中国移动支付安全报告》中指出,当前市面上流行的16款手机银行客户端或多或少均存在安全问题,给黑客留下可趁之机。
手机银行客户端存诸多安全隐患
据了解,黑客采用中间人攻击的方法可以冒充服务器与银行客户端进行通信,之后再冒充银行客户端与服务器进行通信,从而充当一个中间人的角色,在信息的传递过程中,窃取用户帐号、密码等信息。
相比于单个应用程序的漏洞,安卓系统和Linux内核的漏洞往往影响更加广泛。黑客可借助安卓系统的不足对网民手机银行进行攻击。木马程序就有机会通过这些缺陷提升root权限,从而注入到用户的手机银行客户端中。木马一旦注入,黑客就可以轻而易举的获得用户的账号密码和个人登录信息,窃取用户财产更是手到擒来。
《报告》中还指出,后台记录系统默认输入法、仿冒网银登录页面、短信劫持验证码以及二次打包制造盗版等都严重威胁移动支付安全。
提升手机银行安全性需多方合作
安全专家提醒,下载使用手机银行客户端时一定要提高警惕。针对移动支付面临的种种安全威胁,360与建设银行、农业银行、工商银行、中国银行、民生银行等十余家银行展开了安全服务合作,为手机银行客户端提供独立的移动支付安全模块定制服务,包括盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证七项措施,从而全面提升手机银行客户端的安全性。
盗版手机银行客户端在手机应用市场及其他渠道大量泛滥。如果手机银行客户端能够具有反破解,防逆向分析的能力,就可以有效的防止被盗版。今年4月,360移动开放平台推出“360加固保”产品,专为开发者们的应用提供免费、安全的加固服务。开发者们为防止产品被山寨或破解,可直接提交产品到360加固保页面,为自己的应用加上安全保护。
手机银行客户端安全性测评报告:http://zt.360.cn/report