国产2020精品视频免费播放,久久看久久做久久精品,欧美日韩精品视频一区二区,chinese fuck xxxx hd

中行、建行、中信等銀行APP集體“淪陷” 出現(xiàn)重大安全漏洞

 

隨著移動互聯(lián)網(wǎng)的快速發(fā)展以及智能手機的日益普及,移動支付的發(fā)展也異常迅猛,各家金融機構(gòu)紛紛推出了各自的手機銀行APP。隨之而來的則是移動金融支付的安全問題也不斷爆發(fā):釣魚詐騙、信息泄露、資金盜取等。中國信通院泰爾終端實驗室一直關(guān)注各類移動終端應(yīng)用軟件的安全性能,近期依據(jù)相關(guān)標(biāo)準(zhǔn)對多款基于安卓系統(tǒng)的手機銀行APP進(jìn)行了安全測評,結(jié)果不容樂觀。

手機銀行APP竊取信息事件分析顯示存漏洞

 

 

今年以來,國內(nèi)已經(jīng)發(fā)生多起通過手機銀行APP盜取客戶信息及資金的情況。3月15日,中國信通院泰爾終端實驗室的工程師近期針對基于安卓系統(tǒng)的多款手機銀行APP安全性進(jìn)行了較為全面的分析評測,涉及中國銀行、中信銀行、建設(shè)銀行等國內(nèi)多家大型商業(yè)銀行。測評內(nèi)容包括:通信安全性、鍵盤輸入安全性、客戶端運行時安全性、客戶端安全防護、代碼安全性和客戶端業(yè)務(wù)邏輯安全性等6個方面的39項內(nèi)容。

測評結(jié)果顯示:手機銀行APP在邏輯設(shè)計及流程設(shè)計時可能存在一定的缺陷,導(dǎo)致黑客可以識別轉(zhuǎn)賬、匯款時的敏感函數(shù),繼而將客戶的交易數(shù)據(jù)篡改為黑客指定的賬戶,從而導(dǎo)致用戶的轉(zhuǎn)賬資金被非法竊取。同時,工程師還發(fā)現(xiàn)被檢測的手機銀行APP自身防御手段較弱,易被破解,安全性較低。部分手機銀行APP存在的問題如下:

(1)手機銀行APP交易數(shù)據(jù)可被篡改

手機銀行APP在運行過程中,用戶進(jìn)行轉(zhuǎn)賬、匯款等交易時的賬號,開戶行等敏感數(shù)據(jù)信息在寫入移動終端內(nèi)存時,可被黑客利用技術(shù)手段進(jìn)行篡改,使得原本要轉(zhuǎn)給親友或企業(yè)的資金被轉(zhuǎn)入黑客指定的賬戶。

(2)手機銀行APP運行時關(guān)鍵Activity組件容易被劫持

手機銀行APP關(guān)鍵組件不具備防止進(jìn)入后臺或提示用戶等相關(guān)功能,黑客可以對登錄或支付界面進(jìn)行劫持替換,用戶的敏感數(shù)據(jù)存在被竊取的風(fēng)險。黑客可以在本地監(jiān)聽用戶的狀態(tài),當(dāng)用戶登陸或者輸入交易密碼時,彈出偽造的界面誘騙用戶輸入正確的賬號口令,從而竊取用戶信息。

(3)手機銀行APP抗逆向分析能力不足

實驗室的工程師使用反編譯工具、反匯編軟件對手機銀行APP進(jìn)行反編譯,發(fā)現(xiàn)手機銀行APP可被反編譯并且泄露出大量有效代碼。黑客能夠通過反編譯,在客戶端程序中植入木馬、惡意代碼以及廣告等,客戶端程序如果沒有自校驗機制的話,黑客可以通過篡改客戶端程序竊取手機用戶的隱私信息。

(4)手機銀行APP能夠被重新編譯二次打包

實驗室工程師對手機銀行APP進(jìn)行反編譯,通過修改代碼、XML、資源文件并對其重編譯二次打包,重打包后的手機銀行APP能夠正常運行。黑客通過在手機銀行APP程序中植入惡意代碼或廣告等,竊取手機用戶的資金或隱私信息。

(5)手機銀行APP可進(jìn)行動態(tài)調(diào)試

手機銀行APP可以通過GDB、IDA等調(diào)試器進(jìn)行動態(tài)調(diào)試,黑客可利用GDB或IDA等調(diào)試器跟蹤運行程序,并且執(zhí)行查看、修改內(nèi)存中的代碼和數(shù)據(jù)等行為,從而獲取用戶的敏感信息。

(6)手機銀行APP代碼允許任意備份

手機銀行APP代碼允許任意備份,黑客通過備份應(yīng)用程序獲得用戶的敏感信息。

(7)在發(fā)布版本的手機銀行APP中留存測試用的組件或賬號信息

此外被測的手機銀行APP開發(fā)過程中存在幾處明顯問題,包括開發(fā)過程中缺乏有效的校驗機制、上線前缺乏深度的對抗性安全測試、加固保護方案需要提升等。

 

產(chǎn)品開發(fā)和服務(wù)方義不容辭的責(zé)任

 

 

 

從技術(shù)角度展開來講,信息安全需要系統(tǒng)化的思維,特別是針對重要產(chǎn)品的安全防護,切忌采用孤立的思維進(jìn)行設(shè)計和實現(xiàn)。以手機網(wǎng)銀為例:

  • 系統(tǒng)結(jié)構(gòu)上應(yīng)該包括客戶端和服務(wù)端安全

  • 安全屬性上應(yīng)該包括機密性,完整性,可用性以及其他擴展屬性

  • 從安全防護生命周期上而言,要覆蓋業(yè)務(wù)流程的每一個環(huán)節(jié)

  • 從安全體系架構(gòu)上而言,要覆蓋物理接觸,網(wǎng)絡(luò)通信,系統(tǒng)接口,運行環(huán)境,數(shù)據(jù)存儲,業(yè)務(wù)邏輯等每一個層面

對照這樣的安全原則和理念,不難發(fā)現(xiàn),這些手機網(wǎng)銀產(chǎn)品,明顯存在安全隱患。比如,交易請求發(fā)起過程中被明顯篡改,系統(tǒng)未能識別和阻斷,竟然可以完成非法交易,這是典型的完整性保護缺失。再深入剖析,不難發(fā)現(xiàn),產(chǎn)品在安全機制設(shè)計上,沒有充分考慮運行環(huán)境的因素,對運行環(huán)境采用了默認(rèn)的高度信任,這是把自身業(yè)務(wù)的安全建立在“運行環(huán)境完全安全”的基礎(chǔ)上的非系統(tǒng)化思維,事實上大家都知道,安卓系統(tǒng)是開源的,其他軟件獲得系統(tǒng)權(quán)限是非常普遍的現(xiàn)象,這也是產(chǎn)品開發(fā)方和服務(wù)提供方顯然應(yīng)該考慮的因素。業(yè)界的可信安全思想提出的技術(shù)方向,也正是要求專業(yè)人士在對運行環(huán)境無法完全控制的情況下,更加全面地設(shè)計一整套安全機制。

以此分析,行業(yè)內(nèi)也有一些好的案例:如工商銀行手機銀行在進(jìn)行預(yù)交易后,由密碼器隨機數(shù)生成密碼的保護技術(shù);招商銀行手機銀行將代碼高度混淆并增加人臉識別的技術(shù);浦發(fā)銀行手機銀行在轉(zhuǎn)賬交易時,對重要交易環(huán)節(jié)做通信保護等等均可大幅度提高交易安全性等。

另外,從用戶使用的角度,充分考慮用戶使用產(chǎn)品和服務(wù)整個過程的安全,也是產(chǎn)品開發(fā)方和服務(wù)提供方義不容辭的責(zé)任。今年,《網(wǎng)絡(luò)安全法》將開始正式施行,仔細(xì)閱讀并理解其中的每一個條款,不難發(fā)現(xiàn),這也是國家層面提出的更高要求,任何人和企業(yè)都責(zé)無旁貸。

一些手機銀行APP在發(fā)布版中留存了測試用的組件或賬號信息,直接暴露服務(wù)器接口的調(diào)用參數(shù),這樣大大降低了逆向分析者的工作難度,甚至還可能泄露測試用賬戶,給用戶帶來極大安全隱患。

 

如何預(yù)防“山寨銀行APP”

 

 

 

同時,泰爾終端實驗室還發(fā)現(xiàn)被檢測的手機銀行APP,由于破解成本低,可能會導(dǎo)致已經(jīng)出現(xiàn)大量的盜版、山寨版本。

從上述測評結(jié)果可知,被測手機銀行APP都存在高危風(fēng)險。泰爾終端實驗室表示已經(jīng)將相關(guān)漏洞信息反饋各家銀行,普通用戶可關(guān)注使用的手機銀行的近期更新,保持最新版本即可。對于一般的手機銀行APP使用者,給出幾條建議:

  • 謹(jǐn)慎使用手機銀行APP執(zhí)行轉(zhuǎn)賬等敏感操作;

  • 選擇在信息安全防護較強、用戶權(quán)益保護良好的銀行辦理金融業(yè)務(wù);

  • 從銀行官方網(wǎng)站或正規(guī)渠道下載手機銀行APP;

  • 提高信息安全意識,保護個人隱私數(shù)據(jù)。

 

建議大家不要隨意開啟莫名短信和彩信;謹(jǐn)慎使用“微信碼掃一掃”;下載手機銀行時關(guān)注開發(fā)商信息和用戶評論;敏感應(yīng)用設(shè)置密碼;賬戶信息不要記錄在手機中;設(shè)置銀行賬戶額度等。此外應(yīng)盡量減少個人信息泄露,尤其是手機號、身份證號、電子郵箱等敏感信息。

 

發(fā)布者:管理員   點擊數(shù):9180   發(fā)布時間:2017-03-23 11:28:51   更新時間:2020-12-11 18:11:59