账号密码+短信验证码登录，仍不保险

截至2014年6月,我国移动支付用户规模达到2.05亿,半年度增长率为63.4%,网民手机支付的使用比例已提升至38.9%。
消费正在迈入移动支付时代,移动支付的安全性如何？昨天,360互联网安全中心发布了《2014年第二期中国移动支付安全报告》,最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们：你正在使用的银行手机客户端没那么安全。
16家银行的最新版APP
安全性测评不过关“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国介绍说,测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试,“是非常全面的一次安全性测评。”
手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到,这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高,但在后面几项关键性测评中所有APP都拿了零分。
“为避免具体测试方法和银行客户端漏洞被人恶意利用,我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露,秘密报告目前已经提交给了各家银行,也会做后续跟进。在测评中拿分最高的是登录环节,16款银行手机客户端中9款有加密机制,有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的？
“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系,在面对具有短信劫持功能的手机木马攻击时,都显得非常脆弱。”一位安全专家介绍说,今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马,表面看与银行手机客户端的登录界面一模一样,当用户登录时木马就会提示“系统升级中请稍候”,实际上此时,木马正在向一个“13178216427”的神秘号码发送激活短信。
然后,黑客使用控制号码向感染木马的手机发送一条短信,向银行服务器请求一个授权码。银行服务器系统发送这样一条短信,原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权（有些软件会自动检测授权码短信）,那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样,木马程序会窃取并劫持授权短信的话,那就十分危险了。