福州新闻网7月17日讯　对手机上官方版本的手机银行客户端，你放心吗?昨日，360手机安全中心发布国内首份针对16家主流银行手机客户端(APP)的评测报告——《手机银行客户端安全性测评报告》。报告显示，少数手机银行客户端存在加密机制不完整、不校验服务器身份等安全隐患。在防止验证短信被劫持等安全性方面，所有16款被检测的手机银行客户端均表现不佳，银行类手机APP整体安全状况堪忧。

　　手机银行客户端作为网上支付的重要工具，其自身的安全性是网民账户、资金安全的基础。如果手机银行客户端存在安全隐患甚至是安全漏洞，就很有可能被电脑黑客或木马病毒所利用，造成网民银行账户信息的泄漏和直接财产损失。

　　360手机安全中心针对16家主流银行的安卓手机客户端展开一次全面的安全性评测。测试的主要内容包括主要内容包括：登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性的六个主要方面的八项具体测试。

　　登录作为用户使用手机银行客户端的第一步，由于要输入银行账号及密码等敏感信息，安全性尤为重要。然而，测评结果显示，多款银行手机APP在登录阶段即存严重安全隐患。在对16款银行客户端的登录机制安全性进行测评的过程中，安全专家发现了两类比较严重的安全隐患：一类是加密机制不完整或过于简单，很容易被攻击者劫持或破解;另一类是在通信过程中不对服务端身份进行校验，从而导致登录过程很容易被“中间人攻击”所劫持。其中，有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式，极易被劫持或破解。

　　而不论银行客户端使用的是何种登录加密机制，如果客户端在登录过程中不对服务端的身份(证书)进行校验，就有可能“信任”伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。这种假冒服务端身份的攻击也被称为“中间人攻击”。在测评的16款银行客户端中，共有3款银行客户端(均使用HTTPS加密机制)存在忽略服务端证书校验安全漏洞。

　　测试中还发现，手机银行的认证因素存在一定的安全隐患，16款手机银行客户端软件采用的均是“账号密码+短信验证码”的伪双因素认证体系。这种认证体系在面对具有短信劫持功能的手机木马攻击时显得非常脆弱。虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。

　　更令人惊讶的是，用户最信任的自绘随机键盘，其实也不安全。在键盘输入安全性测试中，安全专家发现，虽然多数手机银行客户端使用了自绘键盘，但自绘随机键盘并未被广泛使用，而且还有2款客户端使用了系统默认的输入法，存在重大的安全隐患。如果手机银行客户端被注入恶意模块，或者系统模块被恶意代码感染等极端恶劣的环境下，攻击者可以直接获取密码明文。

　　此外，测评也发现银行类手机APP极易被盗版。本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包，虽然一些客户端对自身签名进行了校验，但也很容易在重打包过程中被攻击者轻易篡改，起不到防止二次打包的作用。

　　(福州晚报首席记者 江海)