国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 移動安全 >

手機網(wǎng)銀APP不夠安全揭秘手機木馬偷錢七大招數(shù)

時間:2014-07-25 13:26來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
最新數(shù)據(jù)顯示,我國手機網(wǎng)民已達5.27億,移動支付半年增長63%,中國消費者已經(jīng)進入移動支付時代。然而,不法分子制作假冒網(wǎng)銀升級助手、盜版手機網(wǎng)銀客戶端、釣魚支付寶等惡意軟件,嚴
Tags移動安全(560)APP(19)手機網(wǎng)銀(3)手機木馬(15)  

  最新數(shù)據(jù)顯示,我國手機網(wǎng)民已達5.27億,移動支付半年增長63%,中國消費者已經(jīng)進入移動支付時代。然而,不法分子制作假冒網(wǎng)銀升級助手、盜版手機網(wǎng)銀客戶端、釣魚支付寶等惡意軟件,嚴重威脅移動支付安全。360互聯(lián)網(wǎng)安全中心日前發(fā)布《2014年第二期中國移動支付安全報告》,國產(chǎn)16大手機銀行客戶端的安全性迎來大考,網(wǎng)銀支付類木馬的偷錢或騙錢的七大招數(shù)被揭穿。

  假冒銀行服務(wù)端“中間人”攻擊

  《報告》顯示,不論銀行客戶端使用的是何種登錄加密機制,如果客戶端在登錄過程中不對服務(wù)端的身份進行校驗,就有可能“信任”偽裝身份的“冒牌服務(wù)端”,連接到假冒的銀行服務(wù)端上,從而導(dǎo)致用戶名、密碼等信息被竊取。這種假冒服務(wù)端身份的攻擊也被稱為“中間人攻擊”。

  中間人攻擊使攻擊者可以冒充服務(wù)器與銀行客戶端進行通信,之后再冒充銀行客戶端與服務(wù)器進行通信,從而充當(dāng)一個中間人的角色,在信息的傳遞過程中,竊取用戶帳號、密碼等信息。在本次測評的16款銀行客戶端中,共有3款銀行客戶端存在忽略服務(wù)端證書校驗安全漏洞。

手機網(wǎng)銀APP不夠安全揭秘手機木馬偷錢七大招數(shù)

  圖一:某手機銀行客戶端遭遇中間人攻擊之后提示“通訊失敗”

  后臺記錄鍵盤位置竊取密碼

  使用手機銀行客戶端的過程中,需要鍵盤輸入的往往都是關(guān)鍵、敏感的信息,如登錄密碼、支付密碼、賬戶信息、資金信息等。如果手機鍵盤的輸入過程被木馬病毒或黑客監(jiān)聽,必將造成用戶信息的泄漏。

  《報告》指出,默認輸入法實際上獨立于系統(tǒng)和客戶端之外。對于使用系統(tǒng)默認輸入法的銀行客戶端軟件來說,當(dāng)用戶在銀行客戶端中輸入賬戶和密碼時,輸入的內(nèi)容實際上是由輸入法進程傳給銀行客戶端的。一旦默認的輸入法程序感染了惡意代碼,或者是輸入法程序被具有記錄鍵盤數(shù)據(jù)能力的惡意程序監(jiān)控,則會導(dǎo)致用戶輸入的賬戶或密碼信息被惡意程序盜取。

  惡意導(dǎo)出用戶界面網(wǎng)銀賬戶信息裸奔

  用戶應(yīng)當(dāng)只有在登錄銀行客戶端時才能查看自己的賬戶信息,但如果賬戶信息頁面被設(shè)置成為可以直接導(dǎo)出,那么通過精心構(gòu)造的程序可以不需要經(jīng)過登錄過程,就可以查看用戶的網(wǎng)銀賬戶信息,從而形成安全隱患。本次測評結(jié)果顯示:在防范Activity劫持方面,則沒有任何一款銀行客戶端軟件具有反Activity劫持的能力,存在較大的安全隱患。

圖二:某手機銀行客戶端帶有敏感信息的Activity手機網(wǎng)銀APP不夠安全揭秘手機木馬偷錢七大招數(shù)

  圖二:某手機銀行客戶端帶有敏感信息的Activity

  被導(dǎo)出

  仿冒登陸界面釣走賬號密碼

  仿冒、釣魚類的惡意程序可能會采用這樣一種手法:在后臺監(jiān)控前臺窗口的運行,如果前臺是一個銀行應(yīng)用的登陸界面,惡意程序就立即啟動自己的仿冒界面,這個動作可以快到用戶無任何感知。用戶在無察覺的情況下可能會在仿冒界面里中輸入用戶名密碼,進而導(dǎo)致帳號和密碼被盜。

  更可怕的是,一款惡意程序甚至可以同時監(jiān)測、仿冒和劫持多個銀行客戶端的登錄界面?!秷蟾妗窚y評結(jié)果顯示,在16款手機銀行客戶端軟件中,沒有任何一款客戶端能單獨解決這類問題。

  利用安卓系統(tǒng)漏洞滲透網(wǎng)銀客戶端

  由于安卓系統(tǒng)存在嚴重的碎片化問題,用戶手機中諸多的系統(tǒng)漏洞得不到及時修復(fù)。木馬程序有機會借助這些漏洞提升root權(quán)限,一旦木馬注入到客戶端進程中,便可輕而易舉獲取用戶賬號和密碼。已經(jīng)注入到銀行客戶端中的木馬模塊,可以輕松突破“自繪鍵盤”的防護,就能直接獲取用戶的賬號密碼明文等絕密信息。

手機網(wǎng)銀APP不夠安全揭秘手機木馬偷錢七大招數(shù)

  圖三:影響面較廣的一些可用于獲取root權(quán)限的漏洞

  二次打包制造盜版主流客戶端難防御

  攻擊者可以使用逆向分析工具,將銀行客戶端程序進行反編譯,并向反編譯結(jié)果中加入惡意代碼后,發(fā)布到一些審核不嚴格的第三方市場中。這些被二次打包發(fā)布的盜版銀行客戶端軟件,對用戶的支付安全造成了極其嚴重的安全威脅。

  分析顯示,本次測評的16款手機銀行客戶端均未能完全有效地防范逆向分析和二次打包,雖然一些客戶端對自身簽名進行了校驗,但也很容易在重打包過程中被攻擊者輕易篡改,起不到防止二次打包的作用。

  短信劫持獲取驗證碼

  《報告》顯示,本次測評的16款手機銀行客戶端軟件采用的均是“帳號密碼+短信驗證碼”的偽雙因素認證體系。這種認證體系在面對具有短信劫持功能的手機木馬攻擊時,都顯得非常脆弱。雖然已經(jīng)有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統(tǒng),但這些系統(tǒng)的使用不是強制性的,絕大多數(shù)用戶仍在使用“帳號密碼+短信驗證碼”的認證方式。

  針對移動支付面臨的種種安全威脅,360與建設(shè)銀行(601939,股吧)、農(nóng)業(yè)銀行(601288,股吧)、工商銀行(601398,股吧)、中國銀行(601988,股吧)、民生銀行(600016,股吧)等十余家銀行展開了安全服務(wù)合作,為手機銀行客戶端提供獨立的移動支付安全模塊定制服務(wù),包括盜版網(wǎng)銀識別、木馬病毒查殺、網(wǎng)絡(luò)環(huán)境監(jiān)控、支付環(huán)境監(jiān)控、網(wǎng)址安全掃描、二維碼掃描監(jiān)控和短信加密認證七項措施,從而全面提升手機銀行客戶端的安全性。

------分隔線----------------------------

推薦內(nèi)容