CNNIC(中國網際網路信息中心)最新發布數據顯示,截至2014年6月,我國行動支付用戶規模達到2.05億,半年度增長率為63.4%,網民手機支付的使用比例已提升至38.9%。
消費正在邁入行動支付時代,行動支付的安全性如何?昨天,360網際網路安全中心發布了《2014年第二期中國行動支付安全報告》,最重要的內容是對目前安卓平臺上使用率較高的16家銀行的16款手機客戶端的安全性做了一次專業測評。報告告訴我們:你正在使用的銀行手機客戶端沒那麼安全。
16家銀行的最新版APP
安全性測評不過關
「測試的版本都是網上能下載到的最新版的銀行手機客戶端。」360安全專家萬仁國告訴記者,測評的主要內容包括登錄機制安全性、鍵盤輸入安全性、Activity組件安全性、進程注入防護、反盜版能力和認證因素安全性這6個主要方面的8項具體測試,「是非常全面的一次安全性測評。」
手機銀行客戶端作為網上支付的重要工具, 其自身的安全性是網民帳戶、資金安全的基礎。結果記者在報告中看到,這16款最新版本的銀行手機客戶端僅個別APP在登錄、鍵盤輸入環節安全性較高,但在後面幾項關鍵性測評中所有APP都拿了零分。
「為避免具體測試方法和銀行客戶端漏洞被人惡意利用,我們暫時不會公開每個銀行客戶端的具體測評結果及敏感試細節。」360網際網路安全中心相關負責人透露,秘密報告目前已經提交給了各家銀行,也會做後續跟進。
在測評中拿分最高的是登錄環節,16款銀行手機客戶端中9款有加密機制,有13款進行伺服器證書校驗。這是不是說明這些APP至少在登錄驗證環節還是安全的?
「目前手機銀行客戶端軟體採用的多是『帳號密碼+簡訊驗證碼』的認證體系,在面對具有簡訊劫持功能的手機木馬攻擊時,都顯得非常脆弱。」一位安全專家告訴記者,今年5月他們曾攔截到一款偽裝成銀行客戶端升級包的網銀支付木馬,表面看與銀行手機客戶端的登錄界面一模一樣,當用戶登錄時木馬就會提示「系統升級中請稍候」,實際上此時,木馬正在向一個「13178216427」的神秘號碼發送激活簡訊。
然後,黑客使用控制號碼向感染木馬的手機發送一條簡訊, 向銀行伺服器請求一個授權碼。銀行伺服器系統發送這樣一條簡訊,原本是要保證手機客戶端與特定號碼綁定。如果用戶在手機銀行客端中正確輸入了這個授權(有些軟體會自動檢測授權碼簡訊),那麼以後服務系統再發送消費通知、驗證碼等信息就會都發送到這個被綁定的手機號上。但這種驗證方式安全性前提是必須保證授權簡訊只有使用該手機號碼戶能夠看到。如被攔截案例中這樣,木馬程序會竊取並劫持授權簡訊的話,那就十分危險了——這意味著你收到的簡訊,黑客也能看到。
「後來我們查到這是一個福建泉州的聯通手機號。」這位安全專家直言,雖然已經有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統,但這些系統的使用不是強制性的,絕大多數用戶仍在使用「帳號密碼+簡訊驗證碼」的認證方式。
更可怕的是,一款惡意程序甚至可以同時監測、仿冒和劫持多個銀行客戶端的登錄界面。報告測評結果顯示,在16款手機銀行客戶端軟體中,沒有任何一款客戶端能單獨解決這類問題。
你用的APP輸入鍵會變嗎
自繪隨機鍵盤更安全些
16款下載最多、使用最廣的銀行手機客戶端都有安全漏洞,普通用戶如何來分辨呢?對普通用戶來說,你只能選擇使用或不使用,卻無法保證自己使用的銀行手機客戶端足夠安全。
「鍵盤輸入安全性較高的是自繪隨機鍵盤,這個比較容易判斷,打開銀行客戶端輸入密碼時,每次彈出來的鍵盤都不一樣的就是自繪隨機鍵盤。」360安全專家萬仁國說,除了銀行外,像證券等行業應用也會使用自繪隨機鍵盤,「自繪隨機鍵盤的使用肯定會增加客戶端的開發成本,但在被評測的16款銀行客戶端中使用率不高不一定是成本原因,也有可能是設計人員沒有考慮到,但判斷一個銀行客戶端的安全性高低不僅僅從密碼輸入判斷,還需要整體分析。」
事實上,提高銀行手機客戶端的安全還不夠,因為手機系統本身也有漏洞,很容易被攻擊,網民手機支付的使用比例正在以每年20%左右的速度增加,行動支付的安全問題需要引起更多關注了。