移动金融软件安全防护措施的漏洞
2019-11-30朱哲良
文/朱哲良
1 常见系统安全措施
1.1 绑定手机号码
方案实现方式:用户在操作的过程中只有一种途径可以访问金融软件,那就是通过手机终端访问,若是用户使用的手机不是当初注册时使用的手机号码,那么在访问的过程中,全线就会受到限制,大部分软件上都只能进行查询的服务,同时操作的过程还会通知原本注册的号码,通过注册时留下的信息,我们可以通过制定的手机,采用制定的方式实现信息变更。
优点:防止非法用户通过其它手机号码尝试访问客户移动金融软件。
漏洞:如果用户手机被盗或者手机号被复制,该方案失效。
1.2 绑定终端设备信息
方案实现方式:如果这一名用户是软件的新注册用户,那么在第一次登陆使用软件的时候,软件会自动发送一条消息给客户,同理,在使用其他终端设备进行才做的时候,权限也会受到相应的限制。
优点:防止非法用户通过其它非权限终端访问客户移动金融软件。
漏洞:如果用户移动终端被盗,该方案失效。
1.3 客户预留信息
方案实现方式:如果用户是第一次使用这一款金融软件,那么会给客户提供之前预留过的信息,如果用户是第二次进行登录,那么就会在操作界面上展示之前留下的信息,并要求用户进行确认。
优点:能够有效地预防软件被修改和一些违法网站。
漏洞:若是用户在操作的过程中粗心大意,没有仔细留意预留信息,那么这一个方案就没有办法达到预期的效果,不仅如此,若是预留的信息出现信息漏洞,那么也很容易就可以被破解。
1.4 短信密码
方案实现方式:在进行重要的操作时,系统可以通过发送确认消息的方式,要求用户在操作前进行确认。
优点:提升操作过程中的安全性保障,密码破解难度加大,安全性得到有效保证。
漏洞:短信密码可能会在发送之后被一些违法软件读取,也有可能截获,这样就给用户的操作埋下隐患。如果手机被盗,那么账户的安全性问题将面临严峻的考验。
2 部分手机银行APP存在的问题
很多银行的移动终端有可能在运行的过程中被不法分子修改,在用户进行操作的过程中,汇款转账等操作都有可能被拦截,密码有可能被截获,黑客可以利用一些技术手段付支出相同的账号,在通过密码将账户资金转走。
手机银行APP运行时关键Activity组件容易被劫持。其实很多银行的移动终端在安全性上都存在很大的漏洞,这给了很多不法分子一可乘之机,他们通过这些漏洞盗取用户信息,挪用用户资金,给客户带来严重的损失,而有关部门还无法进行有效的监管,从而用户资金损失事件一再发生。
手机银行APP抗逆向分析能力不足。很多专业研究人员都在利用专业的软件对银行的移动客户端进行反编译,在这个过程中发现由大量的有效代码被泄漏,黑客可以通过这些代码个客户端植入病毒,从而获取用户信息,窃取用户资金。
手机银行APP能够被重新编译二次打包。在进行反编译的过程中我们还发现,银行客户端还能够通过反编译手段实现代码的修改,资源的替换等操作,这一严重的漏洞给用户的账户安全带来严重的影响。
部分手机银行客户端在正式面对市场发布之前,都会提前预留一些测试用的账号,这很容易导致服务器的接口参数被调用,为不法分子提供可乘之机,给用户带来账户安全隐患。
3 安全措施完善
用户的安全意识与安全实施能力:在以上描述中我们曾经提及,很多软件的安全措施大多数都是在用户具有安全操作意识下进行的设置,但是在实际操作的过程中存在一些实际问题,这些困难目前还是没有得到有效的解决。所以,若是面对没有安全意识的客户时,我们应该如何有效提升用户在安全性上的意识,才是我们目前要考虑的一个重要问题。目前市场上常见的操作就是软件通过使用前调查,对用户的安全意识等级做一个初步的判断,并告知用户,在使用金融软件的过程中可能存在安全性的风险,要求用户能够有能力承受,并正确的进行操作。
移动终端实体的安全:从生活经验以及上文的描述中我们可以知道,大多数的安全措施在移动终端设备背到之后都有可能失效。除此之外,部分完成余额与操作以及root过的设备来说,获取超级用户权限可以说是轻而易举。这样的情况也会给不法分子一可乘之机,降低他们的违法成本。还有一些移动软件,他们的操作系统本身就存在较多的漏洞,这就会给投机分子留下更多机会。
相关法律法规少且监管不足:因为中国的互联网目前正在快速的发展中,但是制度方面还没更上,很多制度依然存在滞后性。所以导致目前很多金融交易都没有在法律的监管范围之内。各种违规操作屡禁不止,各种违法行为层出不穷,且存在取证难,举证难的问题。监管部门对于部分用户的资金状态监管存在不足之处,很难对整个市场有精准的判断。
对于一般的手机银行APP使用者,实验室的工程师建议:
(1)在使用手机进行敏感操作的时候要更加谨慎。
(2)在预留安全信息的时候要注意信息强度、金融机构要尽可能的保护用户权益。
(3)下载银行客户端的时候要通过正规的渠道。
(4)提高信息安全防范意识,保护个人信息。为了确保测试方法不泄露,银行漏洞不被人利用,在此就不公开具体操作细节和测评结果了。但是还是希望银行能够尽快的就安全方面的措施作出改进。
4 结语
综上所述,安全的移动金融应用还有很长的路要走,但首先应该提高的是社会整体的安全意识。希望本文能为相关制度的建设者及相关应用的开发者提供有益的参考。