小心骗子利用安卓系统渗透网银客户端

lwb572468

由于安卓系统存在严重的碎片化问题，用户手机中诸多的系统漏洞得不到及时修复。木马程序有机会借助这些漏洞提升root权限，一旦木马注入到客户端进程中，便可轻而易举获取用户账号和密码。已经注入到银行客户端中的木马模块，可以轻松突破“自绘键盘”的防护，就能直接获取用户的账号密码明文等绝密信息。

二次打包制造盗版主流客户端难防御

　　攻击者可以使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件，对用户的支付安全造成了极其严重的安全威胁。

　　分析显示，本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包，虽然一些客户端对自身签名进行了校验，但也很容易在重打包过程中被攻击者轻易篡改，起不到防止二次打包的作用。

　　短信劫持获取验证码

　　本次测评的16款手机银行客户端软件采用的均是“帐号密码+短信验证码”的伪双因素认证体系。这种认证体系在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“帐号密码+短信验证码”的认证方式。

　　针对移动支付面临的种种安全威胁，360与建设银行(601939,股吧)、农业银行(601288,股吧)、工商银行(601398,股吧)、中国银行(601988,股吧)、民生银行(600016,股吧)等十余家银行展开了安全服务合作，为手机银行客户端提供独立的移动支付安全模块定制服务，包括盗版网银识别、木马病毒查杀、网络环境监控、支付环境监控、网址安全扫描、二维码扫描监控和短信加密认证七项措施，从而全面提升手机银行客户端的安全性。

仿冒登陆界面钓走账号密码

　　仿冒、钓鱼类的恶意程序可能会采用这样一种手法：在后台监控前台窗口的运行，如果前台是一个银行应用的登陆界面，恶意程序就立即启动自己的仿冒界面，这个动作可以快到用户无任何感知。用户在无察觉的情况下可能会在仿冒界面里中输入用户名密码，进而导致帐号和密码被盗。

　　更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示，在16款手机银行客户端软件中，没有任何一款客户端能单独解决这类问题。

好了更多安全信息，请访问网站认证进行查询。