苏州app开发,手机APP开发
扫描关注苏州app开发,苏州app制作,手机app开发

扫一扫网站二维码

银行类App安全性堪忧 银行手机客户端开发需进一

聚源创世2015-07-01常见问题
     随着越来越多的人使用手机进行网络交易,各类银行类APP也开始在3亿多网购用户的手机中占领一席之地,但其安全性是否有足够的保证? 近日,360手机安全中心发布国内首份《手机银行客户端安全性测评报告》(以下简称“报告”)。报告对16家主流银行手机客户端进行评测发现,少数手机银行客户端存在加密机制不完整等安全隐患,银行类手机App整体安全状况堪忧。

  登录阶段已有漏洞

  报告称,16款银行客户端的登录机制安全性测评中,暴露了两类比较严重的安全隐患:一是加密机制不完整或过于简单,很容易被攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验,导致登录过程很容易被“中间人攻击”所劫持。

  记者随机访问了几位有使用手机银行的市民。市民梁先生表示,自己很依赖某银行的手机客户端,同时他也很重视安全问题,“之前用安卓手机,后来听说安卓系统不安全后,还特意去换了一部非安卓系统的手机。”

  银行类App大多有山寨版

  报告还显示,测评的16款手机客户端软件中,除了一家银行外,其他银行的手机网银客户端软件均存在盗版现象,个别客户端甚至有20个以上的盗版版本。总体而言,正版下载量越高的网银App,盗版版本数也相对较多。同时报告还称,16款手机银行客户端采用的均是“账号密码+短信验证码”的认证体系,但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。

  对于山寨App的情况,手机达人阿林表示,自己从不在第三方手机市场上下载银行类App,“只要不破解系统、在官方市场下载,再配合安全软件,安卓手机的安全性也没那么糟糕。”

        安全系数还需加强
 
  而在认证环节,16款银行APP都是采用“账号密码+短信动态验证码”的方式对用户进行身份认证,但《360报告》指出,当手机被有拦截短信功能的手机木马攻击时显得很脆弱。
 
  作为应对,已有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但在简单的“账号密码+短信验证”的方式面前还不是足够便捷,因此目前还未成为APP使用的强制性认证方式。
银行类app,理财app,app安全,app风险,理财app开发
 
  假冒APP风险常在
 
  《360报告》指出,另外也有不少手机在反盗版这个环节存在欠缺,16款APP中有15款均有盗版版本,有的甚至有20个以上的不同盗版版本。《报告》指出,16款APP均不具备防止逆向分析和二次打包的能力,有些存在手机签名漏洞,这为篡改APP或二次打包APP创造了可能。
 
  腾讯手机管家的《第三季度手机安全报告》就提到,其于11月26日截获了一个冒充成正常建设银行APP的手机病毒程序,用户登陆后会收到页面的提示,要求输入银行卡、账户密码等信息。
 
  在完成输入之后,这个假冒成建行APP的病毒程序会自动退出,并从手机桌面消失。但这个病毒程序实际上还在后台运行,并将用户所填写的银行卡账号、密码等信息发送至指定号码中,诈骗者就很容易利用这些信息对用户的银行卡账户进行盗刷。
 
  明辨APP来源
 
  第三方的艾媒咨询今年5月发布的报告也给出数据,仅以一季度的统计,手机病毒传播的途径包括论坛和应用市场,因此用户在下载或更新来自论坛和应用市场的银行APP时需要明智地辨别其安全程度。
 
  根据这份报告,一季度感染手机支付类应用中,银行APP受害比例为13.6%,排入前三,仅次于电商支付平台APP和理财产品的APP。多家媒体的报道假冒APP诈骗案例时都提醒,下载和更新银行APP时,一定要从官方网站等渠道进行操作。由于如今伪基站已经可以冒充银行官方账号向用户发布短信,用户也尤其需要仔细辨别短信中银行网址信息是否正确。苏州app开发 编辑
 
文章关键词
理财APP
app安全
银行app
银行类app
app风险