移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 移动安全 >

手机网银APP不够安全揭秘手机木马偷钱七大招数

时间:2014-07-25 13:26来源:TuZhiJiaMi企业信息安全专家 点击:
最新数据显示,我国手机网民已达5.27亿,移动支付半年增长63%,中国消费者已经进入移动支付时代。然而,不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件,严
Tags移动安全(560)APP(19)手机网银(3)手机木马(15)  

  最新数据显示,我国手机网民已达5.27亿,移动支付半年增长63%,中国消费者已经进入移动支付时代。然而,不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件,严重威胁移动支付安全。360互联网安全中心日前发布《2014年第二期中国移动支付安全报告》,国产16大手机银行客户端的安全性迎来大考,网银支付类木马的偷钱或骗钱的七大招数被揭穿。

  假冒银行服务端“中间人”攻击

  《报告》显示,不论银行客户端使用的是何种登录加密机制,如果客户端在登录过程中不对服务端的身份进行校验,就有可能“信任”伪装身份的“冒牌服务端”,连接到假冒的银行服务端上,从而导致用户名、密码等信息被窃取。这种假冒服务端身份的攻击也被称为“中间人攻击”。

  中间人攻击使攻击者可以冒充服务器与银行客户端进行通信,之后再冒充银行客户端与服务器进行通信,从而充当一个中间人的角色,在信息的传递过程中,窃取用户帐号、密码等信息。在本次测评的16款银行客户端中,共有3款银行客户端存在忽略服务端证书校验安全漏洞。

手机网银APP不够安全揭秘手机木马偷钱七大招数

  图一:某手机银行客户端遭遇中间人攻击之后提示“通讯失败”

  后台记录键盘位置窃取密码

  使用手机银行客户端的过程中,需要键盘输入的往往都是关键、敏感的信息,如登录密码、支付密码、账户信息、资金信息等。如果手机键盘的输入过程被木马病毒或黑客监听,必将造成用户信息的泄漏。

  《报告》指出,默认输入法实际上独立于系统和客户端之外。对于使用系统默认输入法的银行客户端软件来说,当用户在银行客户端中输入账户和密码时,输入的内容实际上是由输入法进程传给银行客户端的。一旦默认的输入法程序感染了恶意代码,或者是输入法程序被具有记录键盘数据能力的恶意程序监控,则会导致用户输入的账户或密码信息被恶意程序盗取。

  恶意导出用户界面网银账户信息裸奔

  用户应当只有在登录银行客户端时才能查看自己的账户信息,但如果账户信息页面被设置成为可以直接导出,那么通过精心构造的程序可以不需要经过登录过程,就可以查看用户的网银账户信息,从而形成安全隐患。本次测评结果显示:在防范Activity劫持方面,则没有任何一款银行客户端软件具有反Activity劫持的能力,存在较大的安全隐患。

图二:某手机银行客户端带有敏感信息的Activity手机网银APP不够安全揭秘手机木马偷钱七大招数

  图二:某手机银行客户端带有敏感信息的Activity

  被导出

  仿冒登陆界面钓走账号密码

  仿冒、钓鱼类的恶意程序可能会采用这样一种手法:在后台监控前台窗口的运行,如果前台是一个银行应用的登陆界面,恶意程序就立即启动自己的仿冒界面,这个动作可以快到用户无任何感知。用户在无察觉的情况下可能会在仿冒界面里中输入用户名密码,进而导致帐号和密码被盗。

  更可怕的是,一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。《报告》测评结果显示,在16款手机银行客户端软件中,没有任何一款客户端能单独解决这类问题。

  利用安卓系统漏洞渗透网银客户端

  由于安卓系统存在严重的碎片化问题,用户手机中诸多的系统漏洞得不到及时修复。木马程序有机会借助这些漏洞提升root权限,一旦木马注入到客户端进程中,便可轻而易举获取用户账号和密码。已经注入到银行客户端中的木马模块,可以轻松突破“自绘键盘”的防护,就能直接获取用户的账号密码明文等绝密信息。

手机网银APP不够安全揭秘手机木马偷钱七大招数

  图三:影响面较广的一些可用于获取root权限的漏洞

  二次打包制造盗版主流客户端难防御

  攻击者可以使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码后,发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件,对用户的支付安全造成了极其严重的安全威胁。

  分析显示,本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包,虽然一些客户端对自身签名进行了校验,但也很容易在重打包过程中被攻击者轻易篡改,起不到防止二次打包的作用。

  短信劫持获取验证码

  《报告》显示,本次测评的16款手机银行客户端软件采用的均是“帐号密码+短信验证码”的伪双因素认证体系。这种认证体系在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统,但这些系统的使用不是强制性的,绝大多数用户仍在使用“帐号密码+短信验证码”的认证方式。

  针对移动支付面临的种种安全威胁,360与建设银行(601939,股吧)、农业银行(601288,股吧)、工商银行(601398,股吧)、中国银行(601988,股吧)、民生银行(600016,股吧)等十余家银行展开了安全服务合作,为手机银行客户端提供独立的移动支付安全模块定制服务,包括盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证七项措施,从而全面提升手机银行客户端的安全性。

------分隔线----------------------------

推荐内容