流行的手機銀行應用充斥著安全漏洞，Android 用戶面臨的風險更大

一項針對iOS和安卓銀行應用的研究發現，源代碼保護不力、敏感數據的明文存儲以及其他嚴重缺陷使得攻擊者很容易闖入賬戶。

一項針對iOS和安卓的銀行應用程序的研究讓研究人員得出結論，“所有經過測試的手機銀行應用程序都沒有可接受的安全級別。”

這項由信息技術安全供應商積極技術公司開展的研究測試了iOS和安卓系統上的14個銀行應用，每個應用的下載量都超過50萬次。盡管樣本量很小，還是有理由關注結果。

每一個應用程序都包含漏洞，其中有三個是共同的:缺乏混淆，沒有針對代碼注入和重新打包的保護，以及包含類和方法名稱的代碼。

簡而言之，自擔使用銀行的移動應用的風險。

對iOS用戶來說幸運的是，在被調查應用的iOS版本中發現的缺陷沒有一個比“中等”風險更糟糕；相比之下，29%的安卓銀行應用包含高風險缺陷。

研究中發現的漏洞會直接傷害個人用戶和商業客戶，在許多情況下，攻擊者甚至不需要訪問銀行應用的服務器端就能造成損害。

客戶端應用是安裝在個人設備上的應用，它們占發現問題的46%。在這些問題中，76%可以在攻擊者沒有對目標設備進行物理訪問的情況下被利用，只需要攻擊者成功地對目標進行網絡釣魚，或者讓他們點擊惡意鏈接或運行有害的腳本。

在客戶端的漏洞中，有三個特別普遍:14個應用程序中有13個允許未經授權訪問用戶數據，14個應用程序中有13個容易受到中間人攻擊，14個應用程序中有11個允許未經授權訪問應用程序本身。

SEE:安全意識和培訓政策(TechRepublic高級版)

服務器端的情況也好不到哪里去，超過一半的應用程序都存在高風險漏洞。

移動銀行服務器端的首要問題是身份驗證不足、暴力漏洞和應用程序識別失敗，所有這些都可能被用來冒充用戶竊取數據和非法轉移資金。

從糟糕的手機銀行安全性中可以學到什么

如果說這項研究有一個亮點的話，那就是(至少在客戶端)只有37%的漏洞可以被利用，而設備卻沒有被破解或根除。

目前還沒有可靠的方法來衡量有多少iOS或安卓設備被破解或被植入，但至少在幾年前，估計只有不到1%的iPhones和7.6%的安卓設備被植入(很難找到更新的統計數據)。

SEE:虛擬專用網:選擇提供商和故障排除技巧(免費PDF)

該報告得出結論，使用手機銀行應用的人應該避免尋根和破解，永遠不要安裝來自非官方渠道的應用，不要點擊陌生人發送的鏈接，并始終保持設備和應用的最新狀態。

“在87%的情況下，需要用戶交互才能利用漏洞，”報告說。

“我們敦促銀行在整個設計和開發過程中更好地強調應用程序安全性。源代碼充滿了問題，因此通過實施SSDL[安全軟件開發生命周期]實踐和確保應用生命周期所有階段的安全性來重新審視開發方法至關重要，”積極技術分析師Olga Zinenko說。

這一教訓適用于任何處理敏感數據應用的企業:從頭開始安全開發，審查舊代碼以確保其不容易受到攻擊，并在向公眾發布應用之前對其進行徹底測試。