多家银行手机转账现高危漏洞 ,用户资金或被非法窃取
最近,嘶吼收到工信部旗下泰尔终端实验室的安全报告《金融客户端也会存在高危漏洞》。泰尔终端实验室工程师近期针对基于安卓操作系统的多款手机银行APP安全性进行了较为全面的分析评测,涉及中国银行、中信银行、建设银行等国内多家大型商业银行。测评内容包括:通信安全性、键盘输入安全性、客户端运行时安全性、客户端安全防护、代码安全性和客户端业务逻辑安全性等6个方面的39项内容。
泰尔终端实验室的工程师通过实验发现,此次测试的手机银行APP普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。
报告进一步分析:
手机银行APP在逻辑设计及流程设计时可能存在一定的缺陷,导致黑客可以识别转账、汇款时的敏感函数,继而将客户的交易数据篡改为黑客指定的账户,造成本应转给正常用户的资金被转到黑客的账户,此类情况会造成个人用户或企业客户的巨大经济损失。
同时,泰尔终端实验室还发现被检测的手机银行APP自身防御手段较弱,易被破解,安全性较低。有安全专家认为,由于破解成本低,可能会导致被测手机银行APP出现大量的盗版、山寨版本。
从上述测评结果可知,被测手机银行APP都存在高危风险。泰尔终端实验室表示已经将相关漏洞信息反馈各家银行,普通用户可关注使用的手机银行的近期更新,保持最新版本即可。
对于一般的手机银行APP使用者,泰尔终端实验室的工程师给出了几条建议:
1、谨慎使用手机银行APP执行转账等敏感操作;
2、选择在信息安全防护较强、用户权益保护良好的银行办理金融业务;
3、从银行官方网站或正规渠道下载手机银行APP;
4、提高信息安全意识,保护个人隐私数据。
作为一家垂直于信息安全行业的专业新媒体,嘶吼也联系了移动互联网系统与应用安全国家工程实验室高级安全研究员、安全联盟反欺诈特约专家朱易翔来分析和点评这份报告,并向开发者提供一些建议。
朱易翔表示,从报告中可以看出,此次被测的手机银行APP开发过程中存在几处明显问题,包括开发过程中缺乏有效的校验机制、上线前缺乏深度的对抗性安全测试、加固保护方案需要提升等。
从技术角度展开来讲,信息安全需要系统化的思维,特别是针对重要产品的安全防护,切忌采用孤立的思维进行设计和实现。
以手机网银为例:
1. 系统结构上应该包括客户端和服务端安全
2. 安全属性上应该包括机密性,完整性,可用性以及其他扩展属性
3. 从安全防护生命周期上而言,要覆盖业务流程的每一个环节
4. 从安全体系架构上而言,要覆盖物理接触,网络通信,系统接口,运行环境,数据存储,业务逻辑等每一个层面
对照这样的安全原则和理念,不难发现,这些手机网银产品,明显存在安全隐患。比如,交易请求发起过程中被明显篡改,系统未能识别和阻断,竟然可以完成非法交易,这是典型的完整性保护缺失。再深入剖析,不难发现,产品在安全机制设计上,没有充分考虑运行环境的因素,对运行环境采用了默认的高度信任,这是把自身业务的安全建立在“运行环境完全安全”的基础上的非系统化思维,事实上大家都知道,安卓系统是开源的,其他软件获得系统权限是非常普遍的现象,这也是产品开发方和服务提供方显然应该考虑的因素。业界的可信安全思想提出的技术方向,也正是要求专业人士在对运行环境无法完全控制的情况下,更加全面地设计一整套安全机制。
以此分析,行业内也有一些好的案例:如工商银行手机银行在进行预交易后,由密码器随机数生成密码的保护技术;招商银行手机银行将代码高度混淆并增加人脸识别的技术;浦发银行手机银行在转账交易时,对重要交易环节做通信保护等等均可大幅度提高交易安全性等。
另外,从用户使用的角度,充分考虑用户使用产品和服务整个过程的安全,也是产品开发方和服务提供方义不容辞的责任。今年,《网络安全法》将开始正式施行,仔细阅读并理解其中的每一个条款,不难发现,这也是国家层面提出的更高要求,任何人和企业都责无旁贷。
多家银行手机转账现高危漏洞 ,用户资金或被非法窃取相关推荐
- 工控危险 施耐德PLC产品现高危漏洞
本文讲的是 工控危险 施耐德PLC产品现高危漏洞,施耐德电气公司开始发布固件补丁处理影响该公司莫迪康(Modicon)M340可编程逻辑控制器(PLC)产品线的高严重性漏洞. 工业控制系统网络应急相应 ...
- 【高危】Strurs2又现高危漏洞(附PocExp)
话说今天早上,一个名为str2-045的漏洞成了大家的讨论焦点,那么这个str2-045到底是个什么鬼? 这个漏洞的全名啊,叫做:基于 Jakarta plugin插件的Struts远程代码执行漏洞. ...
- 卡巴斯基在线杀毒曝高危漏洞 用户可被攻击
2007年10月12日 09:41:00 安全研究员Stephen Fewer近日在卡巴斯基的在线杀毒应用中发现了安全漏洞,该漏洞可导致用户计算机运行恶意代码. 据Fewer称,该漏洞主要存在于&qu ...
- iPhone11因便宜销量超预期;三星手机曝高危漏洞;xUtils 3.8.3发布 | 极客头条
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- 国内手机银行安全体检:多款存在高危漏洞,可影响资金安全
本文讲的是国内手机银行安全体检:多款存在高危漏洞,可影响资金安全, 朋友的手机银行被盗,转走十几万!! 手机银行被盗,惊心动魄15分 男子三张卡绑定手机银行被盗 4分钟27万被转走 上面几个标题对大家 ...
- 百度手机卫士,简单粗暴至极(关于Stagefright高危漏洞)
以色列移动信息安全公司Zimperium研究人员约舒亚·德雷克(JoshuaDrake)在安卓系统中发现了一系列stagefright安全漏洞,影响当前约95%的Android设备.只需简单的一条彩信 ...
- nvidia旧版驱动_N卡用户注意:老版驱动存在5个高危漏洞,赶紧更新
8月5日消息,NVIDIA发布安全公告称,在目前的Windows显卡驱动中发现了五个高危级别的安全漏洞,用户可通过升级至最新版的431.60版本显卡驱动来修复这些漏洞. 据NVIDIA公告显示,这些漏 ...
- 协议关键技术_现代通信协议存高危漏洞 或殃及4G和5G手机
[PConline 资讯]近日,我们从网络安全公司Positive Technologies发布的<2020年LTE和5G网络漏洞>报告中看到,当前移动网络运营商使用的现代通信协议中存在高 ...
- 移动互联网新协议 GTP 中被曝多个高危漏洞,影响4G和5G 用户
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Positive Technologies 公司上周发布报告<2020年 LTE 和5G 网络中的漏洞>指出,移动网络运营 ...
- 美国邮政署网站的一个高危漏洞暴露了6000万用户的数据
近日,美国邮政署(United States Postal Service,USPS)修复了其网站的一个高危漏洞,该漏洞允许任何在usps.com拥有账户的用户查看和修改其他用户的账户信息,约有600 ...
最新文章
- 关于oracle的基础增删改查操作总结
- 性能测试八:jmeter进阶之beanshell
- js float 取精度
- 温故而知新,ggplot2 饼图的几点笔记
- Xamarin.iOS编译出错
- Siamese Network (应用篇1) :孪生网络特征用于图像匹配 ICPR2016
- linux 卸载sphinx,sphinx管理脚本,实现sphinx启动、关闭、重启、生成索引功能 | linux运维小站–linux系统架构_服务器运维_Linux运维工程师工作手札...
- Kafka Shell 基本操作
- jquery 左右移动 以及使用layer.js弹出框呈现在页面上
- 【经验之谈】Git使用之TortoiseGit配置VS详解
- TMS320F28035 中断中使用DINT,无法关闭中断的原因
- mysql如何成祖_明成祖朱棣原是藩王,成为皇帝以后是如何解决的藩王问题?
- 微软 Windows 10 Version 2004 新功能盘点:分离Cortana,数项体验升级,抢先体验
- UDS(一)入门概述
- 中小企业建站方案和资源
- 弘辽科技:商家直通车操作
- 直播服务器不能正常运行,解决人人商城互动直播通信服务无法通信问题
- 嵌入式Linux中间件,高可用性(HA)和嵌入式管理中间件:Enea Element详解
- NFS(网络文件系统)简介及搭建
- PHP_微信公众号开发(1)
热门文章
- JS实现waterfall
- 使用Banner制作轮播图
- 11 JavaScript删除链表的节点 牛客网JZ18
- Cocos--叠加打印log
- 分布式文件存储MinIO SeaweedFS FastDFS对比总结
- Flask Template ( 模板学习)
- 群晖docker签到京豆_在群晖Docker上的部署qBittorrent
- ROS基础(三)——订阅者Subscriber编程实现
- React Native引用三方库报错underfined is not an object(evaluating 'viewproptypes.style')
- 【笔记】两个根因分析方法:5WHYamp;10WHY