近日,360互联网安全中心发布《2014年金融证券类手机应用安全性评测报告》,当前主流金融证券类应用进行了全面的安全测试,结果显示下载量TOP20的金融证券类应用进中,超过半数应用在账号登陆测试时,未能通过安全性检测,多款存在不校验服务端证书、重放攻击、传输密码加密简单等安全隐患。
图:360报告 TOP20的金融证券类应用登录安全分析结果
报告显示,在登陆安全测试中,共有4款应用不校验服务端证书(A),5款应用存在重放攻击问题(B),2款应用传输密码加密简单(C),3款应用在社交账号绑定后,微博登陆不校验服务端证书(D)。综合上述测试结果,未通过登陆安全测试的金融类应用数量超过半数。
此前,首届国家网络安全宣传周“金融日”中国农业银行的展台上,工作人员向观众展示一台因连接免费WiFi而被黑客劫持的终端设备支付过程,其原理就是终端中的敏感账户信息被窃取。而如果客户端在用户登录过程中,不对服务端的身份(证书)进行校验,敏感信息被窃取的可能性更会大大提高。
因此手机安全专家建议,在通过手机金融类应用登录时,最好开启360手机卫士,其可对手机金融、支付环境进行安全监测,同时在手机安装不明来历、疑似危险程序前发出提示,起到警示查杀木马病毒作用。
2014年金融证券类手机应用安全性评测报告
Word: http://yunpan.cn/cA7uk5xtT74Zb
Pdf: http://yunpan.cn/cA7u8f6cMB5AX