沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

多家银行APP安全性测评不过关 网银支付请多个心眼

        本报记者 陈思源

        最新数据显示,我国移动支付用户规模达到2.05亿,半年度增长率为63.4%,网民手机支付的使用比例已提升至38.9%,达5.27亿。伴随着消费迈入移动支付时代,越来越多的手机成为“第二钱包”,但移动支付的安全性仍遭到不少质疑。

        日前,360互联网安全中心发布《2014年第二期中国移动支付安全报告》,最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评,指出国产多个手机银行客户端有多处可被黑客利用的安全隐患,并表示已将漏洞移交给银行。

        专家提醒,用户日常多些良好习惯和防范措施,可降低不少的安全隐患。

        手机银行客户端存安全隐患

        360互联网安全中心数据统计显示,本次测评的16款手机客户端软件中,除了1家银行之外,其他银行的手机网银客户端软件均存在盗版现象。

        “测试的版本都是网上能下载到的最新版的银行手机客户端。”据360安全专家讲到,测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试,“是非常全面的一次安全性测评。”

        记者在报告中看到,这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高,但在后面几项关键性测评中所有APP都拿了零分。“为避免具体测试方法和银行客户端漏洞被人恶意利用,我们暂时不会公开每个银行客户端的具体测评结果及敏感测试细节。”360有关负责人官方表示,目前秘密报告已经提交给了各家银行,也会做后续跟进。

        有专家表示,手机银行客户端作为网上支付的重要工具, 其自身的安全性是网民账户、资金安全的基础。“目前手机银行客户端软件采用的多是”账号密码+短信验证码”的认证体系,在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。”这位安全专家直言,虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。“一旦被可短信劫持的木马感染,这种双重保险依旧存在安全隐患。”“更可怕的是,一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。”该专家表示,根据报告测评结果显示,在16款手机银行客户端软件中,没有任何一款客户端能单独解决这类问题。

        此外,360互联网安全中心数据统计显示,本次测评的16款手机客户端软件中,除了1家银行之外,其他银行的手机网银客户端软件均存在盗版现象。

        移动支付注意加强防范

        目前各大银行的官方网站上都会有手机APP的下载入口,同时用户还应及时为手机系统打上安全补丁以阻止木马入侵,或安装安全软件。

        据报告显示,正版下载量越高的网银App,盗版版本数也相对较多,个别客户端甚至有20个以上的盗版版本。“用户最好从正确的渠道下载支付软件。”某银行电子银行部门工作人员表示,目前各大银行的官方网站上都会有手机APP的下载入口,一些银行还有相应的业务指南、开通流程和演示页面,用户可通过银行的官方渠道下载手机APP,避免盗版版本的侵害。“同时,用户还应及时为手机系统打上安全补丁以阻止木马入侵,或安装安全软件,在木马装进手机之前将其查杀。如发现问题后,第一时间致电银行客服热线进行封锁账户或挂失等相关补救措施。” 某银行电子银行部门工作人员称。

        除从下载软件渠道防范手机支付风险外,用户日常的使用习惯还需多加注意,一些良好的习惯同样能减少你手机支付的安全隐患。“日常要养成良好的手机使用习惯。”有银行人士表示,目前国内的移动支付仍处在发展起步阶段,只要安全性能得到保障,移动支付的便捷性一定会让移动支付有更大的应用空间。就现在发现的一些隐患问题主要还是市民安全意识不强,所以,用户安全地使用手机支付从良好习惯出发。“不要轻信陌生人发来的二维码信息,同时最好保持设置手机开机密码的习惯,并使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。”该人士强调,目前很多骗子通过伪基站技术可以将所发信号码伪装成银行官方客服号码。因此,即使是银行官方客服号码发来的类似短信,也不要轻信。“如果收到此类短信后自己有担忧,也一定不要直接拨打短信中留下的联系电话,而是要通过银行官方客服进行咨询。”

        专家还建议,用户不要在手机上安装来历不明、可能有危险的程序,同时还应设置敏感应用的访问密码;如遇手机遗失,立马远程销毁手机数据。此外,用户也应尽量减少个人信息泄露,尤其是手机号、身份证号、电子邮箱等敏感信息,避免不必要的泄露。

        转自:推酷网

        (责任编辑:HN666)

发表评论