资讯 > 普通文章 > 攻略频道 > 新手贷款 > 正文

银行业315:多家国有银行手机转账现高危漏洞

时间:2017-03-16 来源:中华网 作者:中华网

  随着智能手机的普及和移动互联网的快速扩张,国内移动支付发展迅猛,各家银行纷纷推出手机银行产品。与此同时,安全问题也不断出现,钓鱼诈骗、信息泄露、资金盗取等问题一直困扰着从业者和用户。 

  最近,嘶吼收到工信部旗下泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》。泰尔终端实验室工程师近期针对基于安卓操作系统的多款手机银行APP安全性进行了较为全面的分析评测,涉及中国银行、中信银行、建设银行等国内多家大型商业银行。测评内容包括:通信安全性、键盘输入安全性、客户端运行时安全性、客户端安全防护、代码安全性和客户端业务逻辑安全性等6个方面的39项内容。

  泰尔终端实验室的工程师通过实验发现,此次测试的手机银行APP普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。

       报告进一步分析:

  手机银行APP在逻辑设计及流程设计时可能存在一定的缺陷,导致黑客可以识别转账、汇款时的敏感函数,继而将客户的交易数据篡改为黑客指定的账户,造成本应转给正常用户的资金被转到黑客的账户,此类情况会造成个人用户或企业客户的巨大经济损失。

  同时,泰尔终端实验室还发现被检测的手机银行APP自身防御手段较弱,易被破解,安全性较低。有安全专家认为,由于破解成本低,可能会导致被测手机银行APP出现大量的盗版、山寨版本。

  从上述测评结果可知,被测手机银行APP都存在高危风险。泰尔终端实验室表示已经将相关漏洞信息反馈各家银行,普通用户可关注使用的手机银行的近期更新,保持最新版本即可。

       对于一般的手机银行APP使用者,泰尔终端实验室的工程师给出了几条建议:

  1、谨慎使用手机银行APP执行转账等敏感操作;

  2、选择在信息安全防护较强、用户权益保护良好的银行办理金融业务;

  3、从银行官方网站或正规渠道下载手机银行APP;

  4、提高信息安全意识,保护个人隐私数据。

  作为一家垂直于信息安全行业的专业新媒体,嘶吼也联系了移动互联网系统与应用安全国家工程实验室高级安全研究员、安全联盟反欺诈特约专家朱易翔来分析和点评这份报告,并向开发者提供一些建议。

  朱易翔表示,从报告中可以看出,此次被测的手机银行APP开发过程中存在几处明显问题,包括开发过程中缺乏有效的校验机制、上线前缺乏深度的对抗性安全测试、加固保护方案需要提升等。

  从技术角度展开来讲,信息安全需要系统化的思维,特别是针对重要产品的安全防护,切忌采用孤立的思维进行设计和实现。

       以手机网银为例:

  1.系统结构上应该包括客户端和服务端安全

  2. 安全属性上应该包括机密性,完整性,可用性以及其他扩展属性

  3. 从安全防护生命周期上而言,要覆盖业务流程的每一个环节

  4. 从安全体系架构上而言,要覆盖物理接触,网络通信,系统接口,运行环境,数据存储,业务逻辑等每一个层面

  对照这样的安全原则和理念,不难发现,这些手机网银产品,明显存在安全隐患。比如,交易请求发起过程中被明显篡改,系统未能识别和阻断,竟然可以完成非法交易,这是典型的完整性保护缺失。再深入剖析,不难发现,产品在安全机制设计上,没有充分考虑运行环境的因素,对运行环境采用了默认的高度信任,这是把自身业务的安全建立在“运行环境完全安全”的基础上的非系统化思维,事实上大家都知道,安卓系统是开源的,其他软件获得系统权限是非常普遍的现象,这也是产品开发方和服务提供方显然应该考虑的因素。业界的可信安全思想提出的技术方向,也正是要求专业人士在对运行环境无法完全控制的情况下,更加全面地设计一整套安全机制。

  以此分析,行业内也有一些好的案例:如工商银行手机银行在进行预交易后,由密码器随机数生成密码的保护技术;招商银行手机银行将代码高度混淆并增加人脸识别的技术;浦发银行手机银行在转账交易时,对重要交易环节做通信保护等等均可大幅度提高交易安全性等。

  另外,从用户使用的角度,充分考虑用户使用产品和服务整个过程的安全,也是产品开发方和服务提供方义不容辞的责任。今年,《网络安全法》将开始正式施行,仔细阅读并理解其中的每一个条款,不难发现,这也是国家层面提出的更高要求,任何人和企业都责无旁贷。

急用钱?我们评测了上百款小额贷款产品!关注微信公众号“找小钱”(ID:luxiaodai360),回复“急用钱”,再也不怕借不到钱。

【独家稿件及免责声明】凡注明 “融360原创”之作品,未经融360书面授权,任何单位、组织和个人均不得转载、摘编或者采取其他任何方式使用上述作品。已获书面授权的,注明来源融360。违反上述声明对融360合法权益造成侵害的,将依法追究其法律责任。作品中的材料及结论仅供用户参考,不构成操作建议。获取书面授权请发邮件至:academy@rong360.com

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
猜你喜欢
  • 五大国有银行联手 手机银行转账进入全免费时代 中国五大国有商业银行:中国工商银行、农业银行、中国银行、建设银行、交通银行25日罕见联手,在北京举行签约仪式,共同推出多个举措加强账户管理。 这五家国有商业银行覆盖了中国最...
  • 中国人寿再曝高危漏洞 百万客户信息或已泄露 近日,《投资快报》记者在补天漏洞响应平台上观察发现,有专业级别的网友披露:中国人寿广东分公司系统存在高危漏洞,百万客户信息存在随时大面积泄露的可能性。 据了解,补天漏洞响...
  • 敏感信息易泄露,支付暴露安全高危漏洞 今年5月,央行发布的首批支付牌照即将到期。4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,排在客户备付金管理、合规风险防控后,为第三...
  • 银行业备战钱荒 高收益理财频现市场 随着6月将至,银行业又将迎来年中考核。去年6月钱荒曾迫使许多银行推出年化攀7附8的高收益率产品来吸纳资金,那场疯狂也令今年的揽储大战普遍提前。记者了解到,全国多地不少银行近日...
  • 支付宝曝漏洞 美女名下莫名现债务 一个身份证可以认证几个支付宝账户? 当被问到上述问题,恐怕大多数人都会认为一个身份证只能对应一个支付宝账户。但实际上并不是这样,支付宝官方的回复显示,同一个身份证可以认证...