我的天,手机银行APP竟然也可以泄露信息

文|Debbie

3月22日讯,近年来,伴随移动支付的迅猛发展,很多金融机构也跟着互联网发展的大潮纷纷推出了各自的金融客户端应用程序,即手机银行APP。与之相伴的移动金融支付的安全问题,诸如:钓鱼诈骗、信息泄露、资金盗取等也在不断爆发。

自今年以来,国内已经发生过多起通过手机银行APP盗取客户信息及资金的情况。其实,部分手机银行APP在逻辑设计及流程设计时可能存在一定的缺陷,导致黑客可以识别转账、汇款时的敏感函数,继而将客户的交易数据篡改为黑客指定的账户,造成本应转给正常用户的资金被转到黑客的账户,此类情况会造成个人用户或企业客户的巨大经济损失。

部分手机银行APP存在的高危漏洞,使得用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。同时,也可以体现手机银行APP自身防御手段较弱,易被破解,安全性较低。

部分手机银行APP可能存在以下问题:

一是交易数据可被篡改:手机银行APP在运行过程中,用户进行转账、汇款等交易时的账号,开户行等敏感数据信息在写入移动终端内存时,可被黑客利用技术手段进行篡改,使得原本要转给亲友或企业的资金被转入黑客指定的账户;

二是关键Activity组件容易被劫持:手机银行APP关键组件不具备防止进入后台或提示用户等相关功能,黑客可以对登录或支付界面进行劫持替换,用户的敏感数据存在被窃取的风险。黑客可以在本地监听用户的状态,当用户登陆或者输入交易密码时,弹出伪造的界面诱骗用户输入正确的账号口令,从而窃取用户信息;

三是抗逆向分析能力不足:通过使用反编译工具、反汇编软件对手机银行APP进行反编译,发现手机银行APP可被反编译并且泄露出大量有效代码。黑客能够通过反编译,在客户端程序中植入木马、恶意代码以及广告等,客户端程序如果没有自校验机制,黑客可以通过篡改客户端程序窃取手机用户的隐私信息;

四是能够被重新编译二次打包:对手机银行APP进行反编译后,通过修改代码、XML、资源文件并对其重编译二次打包,重打包后的手机银行APP能够正常运行。黑客通过在手机银行APP程序中植入恶意代码或广告等,窃取手机用户的资金或隐私信息;

五是可以进行动态调试:手机银行APP可以通过GDB、IDA等调试器进行动态调试,黑客可利用GDB或IDA等调试器跟踪运行程序,并且执行查看、修改内存中的代码和数据等行为,从而获取用户的敏感信息;

六是代码允许任意备份:手机银行APP代码允许任意备份,黑客通过备份应用程序获得用户的敏感信息;

七是在发布版本中留存测试用的组件或账号信息:有些手机银行APP在发布版中留存了测试用的组件或账号信息,直接暴露服务器接口的调用参数,这样大大降低了逆向分析者的工作难度,甚至还可能泄露测试用账户,给用户带来极大安全隐患。

所以,用户在使用手机银行APP时,在进行转账等敏感操作时,应当谨慎小心,要从银行官网或是正轨渠道下载手机银行APP,提高安全意识,保护个人隐私。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-03-22
我的天,手机银行APP竟然也可以泄露信息
部分手机银行APP在逻辑设计及流程设计时可能存在一定的缺陷,导致黑客可以识别转账、汇款时的敏感函数,继而将客户的交易数据篡改为黑客指定的账户,造成本应转给正常用户的资金被转到黑客的账户,此类情况会造成个人用户或企业客户的巨大经济损失。

长按扫码 阅读全文

Baidu
map