本報記者 胡曉晶

　　手機銀行很方便，但也容易被“釣魚”。據360手機衛士發佈的國內首份手機銀行客戶端評測報告顯示：包括工商銀行、建設銀行、招商銀行、交通銀行、中國銀行、農業銀行等在內，最新參與測評的16家主流銀行手機APP均表現不佳，尤其少數手機銀行的安卓客戶端存在加密機制不完整、不校驗伺服器身份等安全隱患，有可能被電腦駭客或木馬病毒所利用。

　　登錄階段就有危險

　　登錄作為用戶使用手機銀行客戶端的第一步，因為要輸入銀行賬號及密碼等敏感資訊，安全性尤為重要。但本次測評發現，兩類登錄安全隱患明顯：一類是加密機制不完整或過於簡單，很容易被攻擊者劫持或破解；另一類是在通信過程中不對服務端身份進行校驗，從而導致登錄過程很容易遭遇“中間人攻擊”。其中，有2款手機網銀APP用“HTTP（超文本傳輸協議）+簡單加密”模式傳輸，極易被劫持或破解。

　　據悉，倣冒、釣魚類的惡意程式很可能會採用這樣一種手法：在後臺監控前臺窗口的運作，如果前臺是一個銀行應用的登錄界面，惡意程式就立即啟動自己的倣冒界面，這個動作可以快到用戶無任何感知。而用戶在無察覺的情況下一旦在倣冒的登錄界面裏裏輸入用戶名密碼，就會導致賬號和密碼被盜。更可怕的是，一款惡意程式甚至可以同時監測、倣冒和劫持多個銀行客戶端的登錄界面，而測評中16款手機銀行APP沒有一家能單獨解決這類問題。

　　自繪鍵盤或被山寨

　　目前，多數手機銀行客戶端還會推薦使用自繪鍵盤，而自繪隨機鍵盤雖能大大提高安全性和駭客攻擊的難度，卻也不是萬無一失。如果手機銀行客戶端被注入了惡意模組，或者系統模組被惡意代碼感染，則攻擊者就可以通過Hook替換模式直接獲取到密碼明文。

　　測評顯示：手機銀行客戶端使用最多的安卓組件是Activity（Activity是安卓系統提供給用戶螢幕交互用的最常見應用程式組件），而測評的16家銀行APP中有1款客戶端有嚴重的Activity導出風險，還有2款客戶端則存在Activity導出錯誤可至系統崩潰的問題。

　　密碼+短信也不保險

　　安卓作為開放平臺，攻擊者可以較容易地使用逆向分析工具，將銀行客戶端程式進行反編譯，並向反編譯結果中加入惡意代碼後，發佈到一些審核不嚴格的第三方市場中。這些被二次打包發佈的盜版銀行客戶端軟體，已對用戶的支付安全造成了極其嚴重的安全威脅。

　　測評中，16款手機銀行客戶端均未能完全有效地防範逆向分析和二次打包，雖然一些客戶端對自身簽名進行了校驗，但也很容易在重打包過程中被攻擊者輕易篡改，起不到防止二次打包的作用。

　　同時，雖然已經有部分銀行開始推廣音頻盾、藍芽盾等雙因素認證系統，但這些系統的使用不是強制性的，所以絕大多數用戶仍然在使用“帳號密碼+短信驗證碼”的認證方式，而實測發現這種傳統認證體系在面對具有短信劫持功能的手機木馬攻擊時，都顯得非常脆弱。

　　最新數據顯示，我國手機網民已達5.27億，移動支付半年增長63%，中國消費者已經進入移動支付時代。然而，不法分子製作假冒網銀升級助手、盜版手機網銀客戶端、釣魚支付寶等惡意軟體，已經嚴重威脅到了移動支付安全。

　　來自360網際網路安全中心的統計還顯示：在本次測評的16款手機銀行客戶端軟體中，有15家均存在被盜版的現象。個別客戶端，甚至有20個以上不同的盜版版本；特別是正版下載量越高的網銀APP，其遭遇盜版的版本數也越多。手機銀行APP方便用，但安全與否也越來越值得銀行業和消費者警惕。