账号密码+短信验证码登录,仍不保险

姬涛豪
2.3K
前言:360互联网安全中心相关负责人透露,秘密报告目前已经提交给了各家银行,也会做后续跟进。“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系,在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。”然后,黑客使用控制号码向感染木马的手机发送一条短信,向银行服务器请求一个授权码。如果用户在手机银行客端中正确输入了这个授权,那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。

截至2014年6月,我国移动支付用户规模达到2.05亿,半年度增长率为63.4%,网民手机支付的使用比例已提升至38.9%。
消费正在迈入移动支付时代,移动支付的安全性如何?昨天,360互联网安全中心发布了《2014年第二期中国移动支付安全报告》,最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们:你正在使用的银行手机客户端没那么安全。
16家银行的最新版APP
安全性测评不过关“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国介绍说,测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试,“是非常全面的一次安全性测评。”
手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到,这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高,但在后面几项关键性测评中所有APP都拿了零分。
“为避免具体测试方法和银行客户端漏洞被人恶意利用,我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露,秘密报告目前已经提交给了各家银行,也会做后续跟进。在测评中拿分最高的是登录环节,16款银行手机客户端中9款有加密机制,有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的?
“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系,在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。”一位安全专家介绍说,今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马,表面看与银行手机客户端的登录界面一模一样,当用户登录时木马就会提示“系统升级中请稍候”,实际上此时,木马正在向一个“13178216427”的神秘号码发送激活短信。
然后,黑客使用控制号码向感染木马的手机发送一条短信,向银行服务器请求一个授权码。银行服务器系统发送这样一条短信,原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权(有些软件会自动检测授权码短信),那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样,木马程序会窃取并劫持授权短信的话,那就十分危险了。

- THE END -
字数:1043
来源:转载
【免责声明】作者在本站所发布的文章仅代表作者本人观点,与本站无关。本网站对文中陈述、观点判断保持中立, 不对所包含内容的准确性、可靠性或完整性提供任何保证。请读者仅作参考,特此声明!如有侵权内容请联系:hegui@zhuanxinbaoxian.com。
热门产品榜
重疾险
意外险
医疗险
寿险
储蓄险
i无忧2.0
常见病投保宽松
5494
超级玛丽9号
同种重疾可二次赔
5178
小青龙2号
少儿特疾赔付220%
4313
祥瑞保2.0
重疾不分组多次赔
4054
青云卫3号
少儿特疾赔付220%
3217
完美人生2024
80岁前重疾双倍赔
3052
达尔文8号
可选重疾病种不分组多次赔
2822
大黄蜂9号
少儿特疾最高赔付200%
2048
小淘气2号
少儿特疾最高赔付220%
1594
康顺人生2023版
重疾最高赔3次
500

先生

女士

获取验证码

您想咨询什么险种?
重疾险
定期寿险
医疗险
意外险
年金险(终身寿)
帮我定制
免费预约
我同意接受[个人信息使用授权]。 您提供的个人信息用于我司后续致电进行保险产品介绍及投保协助,我们不会泄露给任何第三方或其他用途。

相关文章

保险拜访短信
2021-05-20
1146
保险转介绍短信
2021-06-24
1292
保险拒绝处理短信
2021-07-27
1416