尽管在过去两年间,银行一直在不断提高其app的安全性,但是调查显示,大部分的手机银行app都会泄漏客户信息。
安全公司IOActive的研究人员称,目前手机银行app还是未能充分保护用户信息,大部分的发送信息依旧包含无SLL链接,也就是未进行加密处理。
安全研究员Ariel Sanchez在其2013年的研究报告中指出,90%的手机app包含无SSL链接,也就是说,黑客只需要通过拦截手段,注入病毒,例如虚假的登入提示等,就可以窃取用户的认证信息。
两年后的今天,研究人员再次进行检测,研究表明手机银行app有所进步,仅剩35%的app在发送信息时未进行加密。
当然,还有30%的app未进行验证,也就是说,12.5%的手机银行app在受到一般攻击时会给用户造成损失。
Sanchez称:“尽管在过去两年间,手机银行app的整体安全性已有所提高,但是,这还远远不够,仍然有非常多的app容易遭受攻击。”
2013年,Sanchez发现50%的手机银行app会非常容易受到Java脚本改写的风险。到了2015年,仍然有30%的app易受Java脚本改写的风险,因为暴露的本地IOS系统允许黑客远程发送短信或邮件到用户手机上,从而实施黑客攻击。
Sanchez的2013年研究报告中同样还指出,70%的手机银行app并未开发出任何一种替代或者是多向身份认证的功能。
Sanchez最近的研究表明,在过去两年间,这方面的改进并不乐观,因为仍有42.5%的app仍然没有采用任何额外的身份认证措施来防止黑客攻击。
尽管在2013年,大部分的app面临着上述威胁,还有40%的app会泄露用户行为和同服务器的往来记录,可以是通过系统或者用户登录,例如错误报告等,黑客因此有机可乘。
Sanchez在2013年发现的另一个安全问题则是有5%的账户激活码是完全通过短信激活(即HTTP链接)的,这样黑客就可凭借这个信息进行拦截,截取信息并盗取账户信息。
尽管这些问题已经得到了解决,但是目前仍然有15%的app会存储未加密的用户信息,例如客户银行账户的详细信息和交易历史,而这些信息只通过文本形式存储在手机的文件系统里。
此外,17.5%的app已经开始用二进制来对客户信息进行硬编码,但是仍有7.5%的app不具备编译程序保护(例如PIE),仅有15%的app具备实时越狱保护,提示用户在越狱的情况下使用该app将面临风险。
Sanchez总结道,尽管大部分的手机app都在不断升级,努力让用户免受MitM的攻击,而且从整体上来看,易受特定病毒攻击的手机app相比于2013年已经有所减少,但是身份认证方法和app的整体安全性却未能得到大程度的改善。
Sanchez表示:“手机银行app在安全性方面已经有了很大的提高,但是,他们还需不断努力寻找出更新更好的解决办法,让每一位客户的数据信息都得到安全保障。关键在于他们需要认识到手机银行app的安全性是一个商业问题而非技术问题。”
读者可前往IOActive博客查看Sanchez的2013年及2015年的调查结果完整版。
来自:weiyangx
更多阅读:
