近年，移動(dòng)支付發(fā)展迅猛，各家金融機(jī)構(gòu)也伴隨著移動(dòng)互聯(lián)網(wǎng)發(fā)展大潮紛紛推出了各自的金融客戶端應(yīng)用程序(這里主要指手機(jī)銀行客戶端應(yīng)用程序，以下簡(jiǎn)稱“手機(jī)銀行APP”)，那么，手機(jī)銀行app安全性如何呢?小編跟大家一起討論下這個(gè)問(wèn)題吧。

其實(shí)，手機(jī)銀行APP在邏輯設(shè)計(jì)及流程設(shè)計(jì)時(shí)可能會(huì)存在一定的缺陷，導(dǎo)致黑客可以識(shí)別轉(zhuǎn)賬、匯款時(shí)的敏感函數(shù)，繼而將客戶的交易數(shù)據(jù)篡改為黑客指定的賬戶，造成本應(yīng)轉(zhuǎn)給正常用戶的資金被轉(zhuǎn)到黑客的賬戶，此類情況會(huì)造成個(gè)人用戶或企業(yè)客戶的巨大經(jīng)濟(jì)損失。

部分手機(jī)銀行APP存在的主要問(wèn)題如下：

(1)手機(jī)銀行APP交易數(shù)據(jù)可被篡改

手機(jī)銀行APP在運(yùn)行過(guò)程中，用戶進(jìn)行轉(zhuǎn)賬、匯款等交易時(shí)的賬號(hào)，開(kāi)戶行等敏感數(shù)據(jù)信息在寫入移動(dòng)終端內(nèi)存時(shí)，可被黑客利用技術(shù)手段進(jìn)行篡改，使得原本要轉(zhuǎn)給親友或企業(yè)的資金被轉(zhuǎn)入黑客指定的賬戶。

(2)手機(jī)銀行APP運(yùn)行時(shí)關(guān)鍵Activity組件容易被劫持

手機(jī)銀行APP關(guān)鍵組件不具備防止進(jìn)入后臺(tái)或提示用戶等相關(guān)功能，黑客可以對(duì)登錄或支付界面進(jìn)行劫持替換，用戶的敏感數(shù)據(jù)存在被竊取的風(fēng)險(xiǎn)。黑客可以在本地監(jiān)聽(tīng)用戶的狀態(tài)，當(dāng)用戶登陸或者輸入交易密碼時(shí)，彈出偽造的界面誘騙用戶輸入正確的賬號(hào)口令，從而竊取用戶信息。

(3)手機(jī)銀行APP抗逆向分析能力不足

實(shí)驗(yàn)室的工程師使用反編譯工具、反匯編軟件對(duì)手機(jī)銀行APP進(jìn)行反編譯，發(fā)現(xiàn)手機(jī)銀行APP可被反編譯并且泄露出大量有效代碼。黑客能夠通過(guò)反編譯，在客戶端程序中植入木馬、惡意代碼以及廣告等，客戶端程序如果沒(méi)有自校驗(yàn)機(jī)制的話，黑客可以通過(guò)篡改客戶端程序竊取手機(jī)用戶的隱私信息。

(4)手機(jī)銀行APP能夠被重新編譯二次打包

實(shí)驗(yàn)室工程師對(duì)手機(jī)銀行APP進(jìn)行反編譯，通過(guò)修改代碼、XML、資源文件并對(duì)其重編譯二次打包，重打包后的手機(jī)銀行APP能夠正常運(yùn)行。黑客通過(guò)在手機(jī)銀行APP程序中植入惡意代碼或廣告等，竊取手機(jī)用戶的資金或隱私信息。

(5)手機(jī)銀行APP可進(jìn)行動(dòng)態(tài)調(diào)試

手機(jī)銀行APP可以通過(guò)GDB、IDA等調(diào)試器進(jìn)行動(dòng)態(tài)調(diào)試，黑客可利用GDB或IDA等調(diào)試器跟蹤運(yùn)行程序，并且執(zhí)行查看、修改內(nèi)存中的代碼和數(shù)據(jù)等行為，從而獲取用戶的敏感信息。

(6)手機(jī)銀行APP代碼允許任意備份

手機(jī)銀行APP代碼允許任意備份，黑客通過(guò)備份應(yīng)用程序獲得用戶的敏感信息。

(7)在發(fā)布版本的手機(jī)銀行APP中留存測(cè)試用的組件或賬號(hào)信息

一些手機(jī)銀行APP在發(fā)布版中留存了測(cè)試用的組件或賬號(hào)信息，直接暴露服務(wù)器接口的調(diào)用參數(shù)，這樣大大降低了逆向分析者的工作難度，甚至還可能泄露測(cè)試用賬戶，給用戶帶來(lái)極大安全隱患。

因此，佰佰安全網(wǎng)提醒大家，使用手機(jī)銀行APP時(shí)，注意以下4點(diǎn)：

(1)謹(jǐn)慎使用手機(jī)銀行APP執(zhí)行轉(zhuǎn)賬等敏感操作;

(2)選擇在信息安全防護(hù)較強(qiáng)、用戶權(quán)益保護(hù)良好的銀行辦理金融業(yè)務(wù);

(3)從銀行官方網(wǎng)站或正規(guī)渠道下載手機(jī)銀行APP;

(4)提高信息安全意識(shí)，保護(hù)個(gè)人隱私數(shù)據(jù)。

以上就是手機(jī)銀行APP安全性的問(wèn)題。佰佰安全網(wǎng)接著會(huì)介紹手機(jī)下載網(wǎng)絡(luò)資源需注意哪些危險(xiǎn)隱患，您有興趣的話，可以常來(lái)看看我們的通訊安全小知識(shí)哦。

責(zé)任編輯:鄒蘭