流行的手机银行应用充斥着安全漏洞，Android 用户面临的风险更大

一项针对iOS和安卓银行应用的研究发现，源代码保护不力、敏感数据的明文存储以及其他严重缺陷使得攻击者很容易闯入账户。

一项针对iOS和安卓的银行应用程序的研究让研究人员得出结论，“所有经过测试的手机银行应用程序都没有可接受的安全级别。”

这项由信息技术安全供应商积极技术公司开展的研究测试了iOS和安卓系统上的14个银行应用，每个应用的下载量都超过50万次。尽管样本量很小，还是有理由关注结果。

每一个应用程序都包含漏洞，其中有三个是共同的:缺乏混淆，没有针对代码注入和重新打包的保护，以及包含类和方法名称的代码。

简而言之，自担使用银行的移动应用的风险。

对iOS用户来说幸运的是，在被调查应用的iOS版本中发现的缺陷没有一个比“中等”风险更糟糕；相比之下，29%的安卓银行应用包含高风险缺陷。

研究中发现的漏洞会直接伤害个人用户和商业客户，在许多情况下，攻击者甚至不需要访问银行应用的服务器端就能造成损害。

客户端应用是安装在个人设备上的应用，它们占发现问题的46%。在这些问题中，76%可以在攻击者没有对目标设备进行物理访问的情况下被利用，只需要攻击者成功地对目标进行网络钓鱼，或者让他们点击恶意链接或运行有害的脚本。

在客户端的漏洞中，有三个特别普遍:14个应用程序中有13个允许未经授权访问用户数据，14个应用程序中有13个容易受到中间人攻击，14个应用程序中有11个允许未经授权访问应用程序本身。

SEE:安全意识和培训政策(TechRepublic高级版)

服务器端的情况也好不到哪里去，超过一半的应用程序都存在高风险漏洞。

移动银行服务器端的首要问题是身份验证不足、暴力漏洞和应用程序识别失败，所有这些都可能被用来冒充用户窃取数据和非法转移资金。

从糟糕的手机银行安全性中可以学到什么

如果说这项研究有一个亮点的话，那就是(至少在客户端)只有37%的漏洞可以被利用，而设备却没有被破解或根除。

目前还没有可靠的方法来衡量有多少iOS或安卓设备被破解或被植入，但至少在几年前，估计只有不到1%的iPhones和7.6%的安卓设备被植入(很难找到更新的统计数据)。

SEE:虚拟专用网:选择提供商和故障排除技巧(免费PDF)

该报告得出结论，使用手机银行应用的人应该避免寻根和破解，永远不要安装来自非官方渠道的应用，不要点击陌生人发送的链接，并始终保持设备和应用的最新状态。

“在87%的情况下，需要用户交互才能利用漏洞，”报告说。

“我们敦促银行在整个设计和开发过程中更好地强调应用程序安全性。源代码充满了问题，因此通过实施SSDL[安全软件开发生命周期]实践和确保应用生命周期所有阶段的安全性来重新审视开发方法至关重要，”积极技术分析师Olga Zinenko说。

这一教训适用于任何处理敏感数据应用的企业:从头开始安全开发，审查旧代码以确保其不容易受到攻击，并在向公众发布应用之前对其进行彻底测试。