身邊的移動支付安全危機

如今手機銀行客戶端已是網(wǎng)上交易的重要支付工具。但作為與移動支付安全息息相關的關鍵對象，手機銀行客戶端確實存在不小安全隱患。日前，某手機安全中心發(fā)布國內(nèi)首份針對16家主流銀行手機客戶端（APP）的評測報告——《手機銀行客戶端安全性測評報告》。經(jīng)測試發(fā)現(xiàn)，少數(shù)手機銀行客戶端存在加密機制不完整，不校驗服務器身份等安全隱患。在防范Activity劫持、防止進程注入、反盜版、防二次打包以及防止驗證短信被劫持等方面，所有16款被檢測的手機銀行客戶端均表現(xiàn)不佳。報告指出，受安卓系統(tǒng)的體系限制，很多支付安全性問題難靠手機銀行客戶端軟件單獨解決，銀行類手機APP整體安全狀況堪憂。

上述報告針對16家主流銀行安卓手機客戶端，展開最全面安全性評測。測試的主要內(nèi)容包括：登錄機制安全性、鍵盤輸入安全性、Activity組件安全性、進程注入防護、反盜版能力和認證因素安全性六個方面的三項具體測試。

測試異常1：不校驗身份或被“攻擊”。在對16款銀行客戶端登錄機制安全性進行測評過程中，手機安全專家發(fā)現(xiàn)兩類比較嚴重的安全隱患：一是加密機制不完整或過于簡單，很容易被攻擊者劫持或破解；二是在通信過程中不對服務端身份進行校驗，導致登錄過程很容易被“中間人攻擊”所劫持。其中，有兩款手機網(wǎng)銀客戶端采用了“HTTP+簡單加密”的數(shù)據(jù)傳輸方式，極易被劫持或破解。

測試異常2：銀行類APP極易被山寨。安卓作為開放平臺，攻擊者可較容易使用逆向分析工具，將銀行客戶端程序進行反編譯，并向反編譯結果中加入惡意代碼后，發(fā)布到一些審核不嚴的第三方市場中。這些被二次打包發(fā)布的盜版銀行客戶端軟件，對用戶的支付安全造成極嚴重的安全威脅。

測試異常3：手機支付病毒暴增。移動安全實驗室日前發(fā)布《2014年上半年手機安全報告》，Android手機病毒在經(jīng)歷2012—2013年幾何式高速增長后，2014年上半年逐步趨于平緩，同比增長7.9%。其中，手機支付類病毒進一步蔓延，上半年感染手機支付類病毒用戶數(shù)達693.4萬，其中可攔截并轉發(fā)用戶支付短信驗證碼的手機病毒大規(guī)模增加，支付類病毒呈現(xiàn)多種特征融合化發(fā)展趨勢。

從以上情況看，無論銀行客戶端自身安全，還是外在惡意軟件侵襲，都對移動平臺用戶數(shù)據(jù)安全造成很大影響，尤其惡意軟件的危害，很多時候是致命的。它可以篡改收費信息，將收費改為免費，并竊取核心程序代碼。想要保護移動支付安全，就要對數(shù)據(jù)加密防護。多模加密技術是最好的選擇，在確保加密質量的同時，其多模特性能讓用戶自主選擇加密模式，靈活應對各種防護需求和安全環(huán)境。endprint