身边发生了很多新鲜事,当前的实时热点,最热门的话题。我们应该多充电,掌握更多的知识,让自己见多识广。目前,互联网、技术和数字与我们的生活密切相关。今天,边肖整理了一些信息并与大家分享。
尽管银行在过去两年里一直在提高其应用程序的安全性,但调查显示,大多数移动银行应用程序都会泄露客户信息。
安全公司IOActive的研究人员表示,手机银行应用程序仍未能完全保护用户信息,发送的大部分信息仍包含没有SLL的链接,也就是说,它们没有加密。
安全研究员阿里尔桑切斯(Ariel Sanchez)在2013年的研究报告中指出,90%的移动应用包含无SSL链接,即黑客只需要注入病毒,如虚假登录提示,就可以窃取用户的认证信息。
两年后的今天,研究人员再次对其进行了测试。研究表明,手机银行应用取得了进展,只有35%的应用在发送消息时没有加密。
当然,30%的应用没有经过验证,也就是说,12.5%的手机银行应用在受到普遍攻击时会给用户造成损失。
桑切斯说:“虽然移动银行应用的整体安全性在过去两年有所提高,但这远远不够,仍然有许多应用容易受到攻击。”
2013年,桑切斯发现,50%的手机银行应用程序容易受到重写Java脚本的风险。到2015年,30%的应用仍然容易受到Java脚本重写的风险,因为暴露的本地IOS系统允许黑客远程向用户手机发送短信或电子邮件,从而实施黑客攻击。
桑切斯2013年的研究报告还指出,70%的手机银行应用没有开发任何替代或多方位的身份认证功能。
桑切斯最近的研究表明,在过去的两年里,这方面的改进并不乐观,因为42.5%的应用程序仍然没有采取任何额外的身份验证措施来防止黑客攻击。
虽然在2013年,大部分应用都面临着上述威胁,但40%的应用泄露了用户行为和与服务器的联系记录,可以通过系统或用户登录,比如报错,所以黑客有了机会。
桑切斯在2013年发现的另一个安全问题是,5%的账户激活码是完全通过短信(即HTTP链接)激活的,黑客可以用这些信息拦截、拦截、窃取账户信息。
虽然这些问题已经解决,但目前15%的app仍然存储着未加密的用户信息,比如客户银行账户明细、交易历史等,这些信息只是通过文本的方式存储在手机的文件系统中。
此外,17.5%的应用已经开始用二进制对客户信息进行硬编码,但仍有7.5%的应用没有编译器保护(如PIE),只有15%的应用有实时越狱保护,这表明用户在越狱的情况下使用该应用会面临风险。
桑切斯总结道,虽然大多数移动应用都在不断升级,试图保护用户免受MitM攻击,而且与2013年相比,易受特定病毒攻击的移动应用数量总体上有所减少,但应用的认证方法和整体安全性并没有得到很大提高。
桑切斯说:“移动银行应用的安全性已经有了很大的提高,但他们仍然需要不断努力寻找更新更好的解决方案,以便每个客户的数据信息都能得到保护。关键是他们需要认识到,手机银行app的安全性是一个业务问题,而不是技术问题。”
读者可以去IOActive博客查看桑切斯2013年和2015年调查结果的完整版本。
出发地:未央
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除