本報記者 胡曉晶

　　手機銀行很方便，但也容易被“釣魚”。據(jù)360手機衛(wèi)士發(fā)布的國內(nèi)首份手機銀行客戶端評測報告顯示：包括工商銀行、建設銀行、招商銀行、交通銀行、中國銀行、農(nóng)業(yè)銀行等在內(nèi)，最新參與測評的16家主流銀行手機APP均表現(xiàn)不佳，尤其少數(shù)手機銀行的安卓客戶端存在加密機制不完整、不校驗服務器身份等安全隱患，有可能被電腦黑客或木馬病毒所利用。

　　登錄階段就有危險

　　登錄作為用戶使用手機銀行客戶端的第一步，因為要輸入銀行賬號及密碼等敏感信息，安全性尤為重要。但本次測評發(fā)現(xiàn)，兩類登錄安全隱患明顯：一類是加密機制不完整或過于簡單，很容易被攻擊者劫持或破解；另一類是在通信過程中不對服務端身份進行校驗，從而導致登錄過程很容易遭遇“中間人攻擊”。其中，有2款手機網(wǎng)銀APP用“HTTP（超文本傳輸協(xié)議）+簡單加密”模式傳輸，極易被劫持或破解。

　　據(jù)悉，仿冒、釣魚類的惡意程序很可能會采用這樣一種手法：在后臺監(jiān)控前臺窗口的運行，如果前臺是一個銀行應用的登錄界面，惡意程序就立即啟動自己的仿冒界面，這個動作可以快到用戶無任何感知。而用戶在無察覺的情況下一旦在仿冒的登錄界面里里輸入用戶名密碼，就會導致賬號和密碼被盜。更可怕的是，一款惡意程序甚至可以同時監(jiān)測、仿冒和劫持多個銀行客戶端的登錄界面，而測評中16款手機銀行APP沒有一家能單獨解決這類問題。

　　自繪鍵盤或被山寨

　　目前，多數(shù)手機銀行客戶端還會推薦使用自繪鍵盤，而自繪隨機鍵盤雖能大大提高安全性和黑客攻擊的難度，卻也不是萬無一失。如果手機銀行客戶端被注入了惡意模塊，或者系統(tǒng)模塊被惡意代碼感染，則攻擊者就可以通過Hook替換模式直接獲取到密碼明文。

　　測評顯示：手機銀行客戶端使用最多的安卓組件是Activity（Activity是安卓系統(tǒng)提供給用戶屏幕交互用的最常見應用程序組件），而測評的16家銀行APP中有1款客戶端有嚴重的Activity導出風險，還有2款客戶端則存在Activity導出錯誤可至系統(tǒng)崩潰的問題。

　　密碼+短信也不保險

　　安卓作為開放平臺，攻擊者可以較容易地使用逆向分析工具，將銀行客戶端程序進行反編譯，并向反編譯結(jié)果中加入惡意代碼后，發(fā)布到一些審核不嚴格的第三方市場中。這些被二次打包發(fā)布的盜版銀行客戶端軟件，已對用戶的支付安全造成了極其嚴重的安全威脅。

　　測評中，16款手機銀行客戶端均未能完全有效地防范逆向分析和二次打包，雖然一些客戶端對自身簽名進行了校驗，但也很容易在重打包過程中被攻擊者輕易篡改，起不到防止二次打包的作用。

　　同時，雖然已經(jīng)有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統(tǒng)，但這些系統(tǒng)的使用不是強制性的，所以絕大多數(shù)用戶仍然在使用“帳號密碼+短信驗證碼”的認證方式，而實測發(fā)現(xiàn)這種傳統(tǒng)認證體系在面對具有短信劫持功能的手機木馬攻擊時，都顯得非常脆弱。

　　最新數(shù)據(jù)顯示，我國手機網(wǎng)民已達5.27億，移動支付半年增長63%，中國消費者已經(jīng)進入移動支付時代。然而，不法分子制作假冒網(wǎng)銀升級助手、盜版手機網(wǎng)銀客戶端、釣魚支付寶等惡意軟件，已經(jīng)嚴重威脅到了移動支付安全。

　　來自360互聯(lián)網(wǎng)安全中心的統(tǒng)計還顯示：在本次測評的16款手機銀行客戶端軟件中，有15家均存在被盜版的現(xiàn)象。個別客戶端，甚至有20個以上不同的盜版版本；特別是正版下載量越高的網(wǎng)銀APP，其遭遇盜版的版本數(shù)也越多。手機銀行APP方便用，但安全與否也越來越值得銀行業(yè)和消費者警惕。