山寨手机APP存隐患 待多方合力护卫支付安全

　　当下移动支付发展迅猛，手机银行也顺势而上。日前，360手机安全中心对外发布了国内首份手机客户端(APP)的评测报告《手机银行客户端安全性测评报告》。报告中针对16家主流银行手机客户端进行评测发现，少数手机银行客户端存在加密机制不完整等安全隐患，银行类手机APP整体安全状况堪忧。

　　手机银行客户端作为网上支付的重要工具，如果存在安全隐患，将会造成网民的账户信息泄漏和直接财产损失，如何保证手机银行安全还待各方努力。

　　手机银行“步步危机”

　　据360手机安全中心发布《手机银行客户端安全性测评报告》称，16款银行客户端的登录机制安全性测评中，暴露了两类比较严重的安全隐患：一是加密机制不完整或过于简单，很容易被攻击者劫持或破解；另一类是在通信过程中不对服务端身份进行校验，导致登录过程很容易被“中间人攻击”所劫持。就目前关于手机银行客户端造成经济损失的案件来看，大多数都是因为验证方式过于简单而造成的信息泄露。不过专家认为，不论使用的是何种登录加密机制，如果客户端在登录过程中不对服务端的身份进行校验，就有可能“信任”伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。

　　360手机安全中心在键盘输入安全性测试中发现，有两款客户端使用了系统默认的输入法，存在重大的安全隐患。虽然多数手机银行客户端使用了自绘键盘，但也并不是万无一失的。若手机银行客户端被注入了恶意模块，或者系统模块被恶意代码感染等极端恶劣的环境下，攻击者可以通过Hook直接获取到密码。

　　另外报告显示，测评的16款手机客户端软件中，除了一家银行外，其他银行的手机网银客户端软件均存在盗版现象，个别客户端甚至有20个以上的盗版版本。

　　总体而言，正版下载量越高的网银APP，盗版版本数也相对较多。同时报告还表示，16款手机银行客户端采用的均是“账号密码+短信验证码”的认证体系，但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。

　　发展迅猛，普及率过半

　　随着移动通讯技术的快速发展，使得银行业务逐步从传统的柜台向更为便捷的网络化方向转移，手机银行作为移动网络和商业银行业务的结合体得到了极大的发展。

　　根据易观智库产业数据库最新发布的《中国手机银行市场监测数据报告2014年第2季度》数据测算显示，2014年第2季度，手机银行客户交易金额达到5.99万亿元，环比增长达到8.1%。数据显示，目前建行和工行手机银行客户总数已经超过1亿户，交行、农行、中行的客户数也超过5000万户，股份制银行中，招行、光大的客户数均超过1000万户。民生银行也宣布，继去年12月5日超过500万户后，该行手机银行客户总规模在5月25日突破800万户。也就是说，仅上述大中型上市银行合计的手机银行客户就已突破4亿户。

　　手机银行之所以发展这么迅速的关键还是广大用户提供了便利。它突破了传统银行时间、地点的限制，真正为客户做到了随时、随地的办业务，自从有了手机银行，用户不需要交通出行就可以在手机上操作完成，省下不少力气。

　　目前，各家银行都在为自己的手机银行服务不断升级，像“网点预约”、购买理财、交水电费等都能“宅”在家里轻松搞定。像广发、交通等此类的商业银行则推出了任意手机号转账及和二维码取款等功能，进一步为用户提供方便。

关键词：app,手机,山寨,支付