山寨手机APP存隐患 亟待多方合力护卫支付安全

　　当下移动支付发展迅猛，手机银行也顺势而上。日前，360手机安全中心对外发布了国内首份手机客户端(APP)的评测报告《手机银行客户端安全性测评报告》。报告中针对16家主流银行手机客户端进行评测发现，少数手机银行客户端存在加密机制不完整等安全隐患，银行类手机APP整体安全状况堪忧。

　　手机银行客户端作为网上支付的重要工具，如果存在安全隐患，将会造成网民的账户信息泄漏和直接财产损失，如何保证手机银行安全还待各方努力。

　　手机银行“步步危机”

　　据360手机安全中心发布《手机银行客户端安全性测评报告》称，16款银行客户端的登录机制安全性测评中，暴露了两类比较严重的安全隐患：一是加密机制不完整或过于简单，很容易被攻击者劫持或破解；另一类是在通信过程中不对服务端身份进行校验，导致登录过程很容易被“中间人攻击”所劫持。就目前关于手机银行客户端造成经济损失的案件来看，大多数都是因为验证方式过于简单而造成的信息泄露。不过专家认为，不论使用的是何种登录加密机制，如果客户端在登录过程中不对服务端的身份进行校验，就有可能“信任”伪装身份的“冒牌服务端”，连接到假冒的银行服务端上，从而导致用户名、密码等信息被窃取。

　　360手机安全中心在键盘输入安全性测试中发现，有两款客户端使用了系统默认的输入法，存在重大的安全隐患。虽然多数手机银行客户端使用了自绘键盘，但也并不是万无一失的。若手机银行客户端被注入了恶意模块，或者系统模块被恶意代码感染等极端恶劣的环境下，攻击者可以通过Hook直接获取到密码。

　　另外报告显示，测评的16款手机客户端软件中，除了一家银行外，其他银行的手机网银客户端软件均存在盗版现象，个别客户端甚至有20个以上的盗版版本。

　　总体而言，正版下载量越高的网银APP，盗版版本数也相对较多。同时报告还表示，16款手机银行客户端采用的均是“账号密码+短信验证码”的认证体系，但该体系在面对具有短信劫持功能的手机木马攻击时将不堪一击。

　　发展迅猛，普及率过半

　　随着移动通讯技术的快速发展，使得银行业务逐步从传统的柜台向更为便捷的网络化方向转移，手机银行作为移动网络和商业银行业务的结合体得到了极大的发展。

　　根据易观智库产业数据库最新发布的《中国手机银行市场监测数据报告2014年第2季度》数据测算显示，2014年第2季度，手机银行客户交易金额达到5.99万亿元，环比增长达到8.1%。数据显示，目前建行和工行手机银行客户总数已经超过1亿户，交行、农行、中行的客户数也超过5000万户，股份制银行中，招行、光大的客户数均超过 1000万户。民生银行也宣布，继去年12月5日超过500万户后，该行手机银行客户总规模在5月25日突破800万户。也就是说，仅上述大中型上市银行合计的手机银行客户就已突破4亿户。

　　手机银行之所以发展这么迅速的关键还是广大用户提供了便利。它突破了传统银行时间、地点的限制，真正为客户做到了随时、随地的办业务，自从有了手机银行，用户不需要交通出行就可以在手机上操作完成，省下不少力气。

　　目前，各家银行都在为自己的手机银行服务不断升级，像“网点预约”、购买理财、交水电费等都能“宅”在家里轻松搞定。像广发、交通等此类的商业银行则推出了任意手机号转账及和二维码取款等功能，进一步为用户提供方便。

　　防范山寨手机应用须多方合力

　　虽然近几年来手机银行市场得到了很大的发展，积累了上亿的客户群体，但由于发展时间较短、网络安全等方面的原因手机银行业务仍然存在一些问题急需解决。

　　据相关人士表示，手机银行的安全因素表现在多个方面，从SIM卡中的安全插件、标准安全设施到银行的业务平台与用户手机SIM卡之间的加密机制，所有这些因素共同确保了手机银行的安全性。银行要保证APP的操作安全。譬如，联通手机银行基于CDMA无线网络传输，该网络最初产生并运用于军方，采用空中加密技术，安全性能很高；而手机银行从手机端到银行端实现了全程加密，同时还采用了数字签名机制、手机与卡的绑定机制，这些加密算法基本没有被破译的可能，保证了客户交易和账户资金的安全。另外手机银行数据传输和交易过程均采用了高强度加密协议。每次退出交行手机银行后，系统会自动清除手机内存中关于卡号、密码等关键信息；而别名设定、交易和卡号绑定等内容也都只保存在银行主机里而不会存在手机里，即使手机丢失也不影响用户的账户安全。

　　此外，治理山寨银行APP，相关部门应该加强监管，完善应用行业认证标准和相关法律规定，制定软件应用商店安全标准和手机应用安全标准；其次，安全厂商也应加强应用的审核力度，不仅要注重用户体验，还应提高应用的安全性；再次，手机用户要养成良好的使用习惯，提升自我防范意识，同时选择具有安全认证的正规的下载渠道，提升安全防范能力，才能真正让不法分子无漏洞可钻。

　　手机银行的发展不仅仅是银行单方面的问题，还必须依托移动运营商和卡商，以及手机安全厂商的共同努力，牵扯的利益群体较为复杂，在协调和产业链形成方面还有待时日。