身边的移动支付安全危机

如今手机银行客户端已是网上交易的重要支付工具。但作为与移动支付安全息息相关的关键对象，手机银行客户端确实存在不小安全隐患。日前，某手机安全中心发布国内首份针对16家主流银行手机客户端（APP）的评测报告——《手机银行客户端安全性测评报告》。经测试发现，少数手机银行客户端存在加密机制不完整，不校验服务器身份等安全隐患。在防范Activity劫持、防止进程注入、反盗版、防二次打包以及防止验证短信被劫持等方面，所有16款被检测的手机银行客户端均表现不佳。报告指出，受安卓系统的体系限制，很多支付安全性问题难靠手机银行客户端软件单独解决，银行类手机APP整体安全状况堪忧。

上述报告针对16家主流银行安卓手机客户端，展开最全面安全性评测。测试的主要内容包括：登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性六个方面的三项具体测试。

测试异常1：不校验身份或被“攻击”。在对16款银行客户端登录机制安全性进行测评过程中，手机安全专家发现两类比较严重的安全隐患：一是加密机制不完整或过于简单，很容易被攻击者劫持或破解；二是在通信过程中不对服务端身份进行校验，导致登录过程很容易被“中间人攻击”所劫持。其中，有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式，极易被劫持或破解。

测试异常2：银行类APP极易被山寨。安卓作为开放平台，攻击者可较容易使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严的第三方市场中。这些被二次打包发布的盗版银行客户端软件，对用户的支付安全造成极严重的安全威胁。

测试异常3：手机支付病毒暴增。移动安全实验室日前发布《2014年上半年手机安全报告》，Android手机病毒在经历2012—2013年几何式高速增长后，2014年上半年逐步趋于平缓，同比增长7.9%。其中，手机支付类病毒进一步蔓延，上半年感染手机支付类病毒用户数达693.4万，其中可拦截并转发用户支付短信验证码的手机病毒大规模增加，支付类病毒呈现多种特征融合化发展趋势。

从以上情况看，无论银行客户端自身安全，还是外在恶意软件侵袭，都对移动平台用户数据安全造成很大影响，尤其恶意软件的危害，很多时候是致命的。它可以篡改收费信息，将收费改为免费，并窃取核心程序代码。想要保护移动支付安全，就要对数据加密防护。多模加密技术是最好的选择，在确保加密质量的同时，其多模特性能让用户自主选择加密模式，灵活应对各种防护需求和安全环境。endprint