本报记者 肖夏 上海报道随着越来越多的人使用手机进行网络交易,各类银行类APP也开始在3亿多网购用户的手机中占领一席之地,但其安全性是否有足够的保证?官方的中国互联网信息中心(CNNIC)发布的报告显示,截至今年6月,手机网民规模5.27亿,较2013年底增加2699万人。在这当中,使用了手机网上银行APP的用户规模达到1.83亿人,半年间增长了6603万用户,其56.4%的增长速度远远高过网民增长的规模
本报记者 肖夏 上海报道
随着越来越多的人使用手机进行网络交易,各类银行类APP也开始在3亿多网购用户的手机中占领一席之地,但其安全性是否有足够的保证?
官方的中国互联网信息中心(CNNIC)发布的报告显示,截至今年6月,手机网民规模5.27亿,较2013年底增加2699万人。在这当中,使用了手机网上银行APP的用户规模达到1.83亿人,半年间增长了6603万用户,其56.4%的增长速度远远高过网民增长的规模。
大多数手机用户对银行类APP的便利性和功能性点赞。事实上,截至到11月18日,各大主流的安卓平台综合数据显示,建设银行的APP下载量即将突破一亿人次,工行、农行、交行和招行紧随其后――短短数月间银行类APP的下载量增幅还在加大。
但在满足了便捷性和功能性的需求后,银行类APP的安全性又如何?从腾讯手机管家到此前360安全中心以及第三方咨询机构都先后发出提醒:由于其与资金安全的紧密关联,银行类APP仍然面临很多风险,这风险既来自于其本身的安全设计,也有假冒APP防不胜防的因素。
21世纪经济报道记者根据相关技术测试报告和报道整理出银行APP在以下几个方面存在的风险(程度各有不同)和相应的防范提示,希望能让读者在享受移动互联网时代便利的同时注意规避风险。
1.安全系数还需加强
360安全中心今年7月发布 《手机银行客户端安全性测评报告》,针对16家银行的APP进行了登录、键盘输入、组件安装、认证等多个环节的安全测试,发现出不少问题。
《360报告》显示,其中至少有两款银行的APP从登录环节便存在隐患:一款APP加密机制不完整或过于简单,导致APP容易被破解,而另一款则在通信过程中缺少对服务端身份校验的步骤,导致登录环节容易被攻击劫持,“由于是与虚假的服务器进行通信,因此,所有通信内容事实全部都可以被‘中间人’获得和解密”。
而在认证环节,16款银行APP都是采用“账号密码+短信动态验证码”的方式对用户进行身份认证,但《360报告》指出,当手机被有拦截短信功能的手机木马攻击时显得很脆弱。
作为应对,已有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但在简单的“账号密码+短信验证”的方式面前还不是足够便捷,因此目前还未成为APP使用的强制性认证方式。
2.假冒APP风险常在
《360报告》指出,另外也有不少手机在反盗版这个环节存在欠缺,16款APP中有15款均有盗版版本,有的甚至有20个以上的不同盗版版本。《报告》指出,16款APP均不具备防止逆向分析和二次打包的能力,有些存在手机签名漏洞,这为篡改APP或二次打包APP创造了可能。
腾讯手机管家的《第三季度手机安全报告》就提到,其于11月26日截获了一个冒充成正常建设银行APP的手机病毒程序,用户登陆后会收到页面的提示,要求输入银行卡、账户密码等信息。
在完成输入之后,这个假冒成建行APP的病毒程序会自动退出,并从手机桌面消失。但这个病毒程序实际上还在后台运行,并将用户所填写的银行卡账号、密码等信息发送至指定号码中,诈骗者就很容易利用这些信息对用户的银行卡账户进行盗刷。
3.明辨APP来源
第三方的艾媒咨询今年5月发布的报告也给出数据,仅以一季度的统计,手机病毒传播的途径包括论坛和应用市场,因此用户在下载或更新来自论坛和应用市场的银行APP时需要明智地辨别其安全程度。
根据这份报告,一季度感染手机支付类应用中,银行APP受害比例为13.6%,排入前三,仅次于电商支付平台APP和理财产品的APP。多家媒体的报道假冒APP诈骗案例时都提醒,下载和更新银行APP时,一定要从官方网站等渠道进行操作。由于如今伪基站已经可以冒充银行官方账号向用户发布短信,用户也尤其需要仔细辨别短信中银行网址信息是否正确。(编辑 王洁)
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!