山寨手機APP存隱患 亟待多方合力護衛支付安全

　　當下移動支付發展迅猛，手機銀行也順勢而上。日前，360手機安全中心對外發佈了國內首份手機客戶端(APP)的評測報告《手機銀行客戶端安全性測評報告》。報告中針對16家主流銀行手機客戶端進行評測發現，少數手機銀行客戶端存在加密機制不完整等安全隱患，銀行類手機APP整體安全狀況堪憂。

　　手機銀行客戶端作為網上支付的重要工具，如果存在安全隱患，將會造成網民的賬戶資訊泄漏和直接財産損失，如何保證手機銀行安全還待各方努力。

　　手機銀行“步步危機”

　　據360手機安全中心發佈《手機銀行客戶端安全性測評報告》稱，16款銀行客戶端的登錄機制安全性測評中，暴露了兩類比較嚴重的安全隱患：一是加密機制不完整或過於簡單，很容易被攻擊者劫持或破解；另一類是在通信過程中不對服務端身份進行校驗，導致登錄過程很容易被“中間人攻擊”所劫持。就目前關於手機銀行客戶端造成經濟損失的案件來看，大多數都是因為驗證方式過於簡單而造成的資訊洩露。不過專家認為，不論使用的是何種登錄加密機制，如果客戶端在登錄過程中不對服務端的身份進行校驗，就有可能“信任”偽裝身份的“冒牌服務端”，連接到假冒的銀行服務端上，從而導致用戶名、密碼等資訊被竊取。

　　360手機安全中心在鍵盤輸入安全性測試中發現，有兩款客戶端使用了系統默認的輸入法，存在重大的安全隱患。雖然多數手機銀行客戶端使用了自繪鍵盤，但也並不是萬無一失的。若手機銀行客戶端被注入了惡意模組，或者系統模組被惡意代碼感染等極端惡劣的環境下，攻擊者可以通過Hook直接獲取到密碼。

　　另外報告顯示，測評的16款手機客戶端軟體中，除了一家銀行外，其他銀行的手機網銀客戶端軟體均存在盜版現象，個別客戶端甚至有20個以上的盜版版本。

　　總體而言，正版下載量越高的網銀APP，盜版版本數也相對較多。同時報告還表示，16款手機銀行客戶端採用的均是“賬號密碼+短信驗證碼”的認證體系，但該體系在面對具有短信劫持功能的手機木馬攻擊時將不堪一擊。

　　發展迅猛，普及率過半

　　隨著移動通訊技術的快速發展，使得銀行業務逐步從傳統的櫃檯向更為便捷的網路化方向轉移，手機銀行作為移動網路和商業銀行業務的結合體得到了極大的發展。

　　根據易觀智庫産業數據庫最新發佈的《中國手機銀行市場監測數據報告2014年第2季度》數據測算顯示，2014年第2季度，手機銀行客戶交易金額達到5.99萬億元，環比增長達到8.1%。數據顯示，目前建行和工行手機銀行客戶總數已經超過1億戶，交行、農行、中行的客戶數也超過5000萬戶，股份制銀行中，招行、光大的客戶數均超過 1000萬戶。民生銀行也宣佈，繼去年12月5日超過500萬戶後，該行手機銀行客戶總規模在5月25日突破800萬戶。也就是説，僅上述大中型上市銀行合計的手機銀行客戶就已突破4億戶。

　　手機銀行之所以發展這麼迅速的關鍵還是廣大用戶提供了便利。它突破了傳統銀行時間、地點的限制，真正為客戶做到了隨時、隨地的辦業務，自從有了手機銀行，用戶不需要交通出行就可以在手機上操作完成，省下不少力氣。

　　目前，各家銀行都在為自己的手機銀行服務不斷升級，像“網點預約”、購買理財、交水電費等都能“宅”在家裏輕鬆搞定。像廣發、交通等此類的商業銀行則推出了任意手機號轉賬及和二維碼取款等功能，進一步為用戶提供方便。

　　防範山寨手機應用須多方合力

　　雖然近幾年來手機銀行市場得到了很大的發展，積累了上億的客戶群體，但由於發展時間較短、網路安全等方面的原因手機銀行業務仍然存在一些問題急需解決。

　　據相關人士表示，手機銀行的安全因素表現在多個方面，從SIM卡中的安全插件、標準安全設施到銀行的業務平臺與用戶手機SIM卡之間的加密機制，所有這些因素共同確保了手機銀行的安全性。銀行要保證APP的操作安全。譬如，聯通手機銀行基於CDMA無線網路傳輸，該網路最初産生並運用於軍方，採用空中加密技術，安全性能很高；而手機銀行從手機端到銀行端實現了全程加密，同時還採用了數字簽名機制、手機與卡的綁定機制，這些加密演算法基本沒有被破譯的可能，保證了客戶交易和賬戶資金的安全。另外手機銀行數據傳輸和交易過程均採用了高強度加密協議。每次退出交行手機銀行後，系統會自動清除手機記憶體中關於卡號、密碼等關鍵資訊；而別名設定、交易和卡號綁定等內容也都只保存在銀行主機裏而不會存在手機裏，即使手機丟失也不影響用戶的賬戶安全。

　　此外，治理山寨銀行APP，相關部門應該加強監管，完善應用行業認證標準和相關法律規定，制定軟體應用商店安全標準和手機應用安全標準；其次，安全廠商也應加強應用的審核力度，不僅要注重用戶體驗，還應提高應用的安全性；再次，手機用戶要養成良好的使用習慣，提升自我防範意識，同時選擇具有安全認證的正規的下載渠道，提升安全防範能力，才能真正讓不法分子無漏洞可鑽。

　　手機銀行的發展不僅僅是銀行單方面的問題，還必須依託移動運營商和卡商，以及手機安全廠商的共同努力，牽扯的利益群體較為複雜，在協調和産業鏈形成方面還有待時日。