手機(jī)銀行步步危機(jī) 防范山寨手機(jī)應(yīng)用須多方合力

　　當(dāng)下移動(dòng)支付發(fā)展迅猛，手機(jī)銀行也順勢(shì)而上。日前，360手機(jī)安全中心對(duì)外發(fā)布了國(guó)內(nèi)首份手機(jī)客戶端（APP）的評(píng)測(cè)報(bào)告《手機(jī)銀行客戶端安全性測(cè)評(píng)報(bào)告》。報(bào)告中針對(duì)16家主流銀行手機(jī)客戶端進(jìn)行評(píng)測(cè)發(fā)現(xiàn)，少數(shù)手機(jī)銀行客戶端存在加密機(jī)制不完整等安全隱患，銀行類手機(jī)APP整體安全狀況堪憂。

　　手機(jī)銀行客戶端作為網(wǎng)上支付的重要工具，如果存在安全隱患，將會(huì)造成網(wǎng)民的賬戶信息泄漏和直接財(cái)產(chǎn)損失，如何保證手機(jī)銀行安全還待各方努力。

　　手機(jī)銀行“步步危機(jī)”

　　據(jù)360手機(jī)安全中心發(fā)布《手機(jī)銀行客戶端安全性測(cè)評(píng)報(bào)告》稱，16款銀行客戶端的登錄機(jī)制安全性測(cè)評(píng)中，暴露了兩類比較嚴(yán)重的安全隱患：一是加密機(jī)制不完整或過于簡(jiǎn)單，很容易被攻擊者劫持或破解；另一類是在通信過程中不對(duì)服務(wù)端身份進(jìn)行校驗(yàn)，導(dǎo)致登錄過程很容易被“中間人攻擊”所劫持。就目前關(guān)于手機(jī)銀行客戶端造成經(jīng)濟(jì)損失的案件來(lái)看，大多數(shù)都是因?yàn)轵?yàn)證方式過于簡(jiǎn)單而造成的信息泄露。不過中國(guó)報(bào)告大廳認(rèn)為，不論使用的是何種登錄加密機(jī)制，如果客戶端在登錄過程中不對(duì)服務(wù)端的身份進(jìn)行校驗(yàn)，就有可能“信任”偽裝身份的“冒牌服務(wù)端”，連接到假冒的銀行服務(wù)端上，從而導(dǎo)致用戶名、密碼等信息被竊取。

　　360手機(jī)安全中心在鍵盤輸入安全性測(cè)試中發(fā)現(xiàn)，有兩款客戶端使用了系統(tǒng)默認(rèn)的輸入法，存在重大的安全隱患。雖然多數(shù)手機(jī)銀行客戶端使用了自繪鍵盤，但也并不是萬(wàn)無(wú)一失的。若手機(jī)銀行客戶端被注入了惡意模塊，或者系統(tǒng)模塊被惡意代碼感染等極端惡劣的環(huán)境下，攻擊者可以通過Hook直接獲取到密碼。

　　另外報(bào)告顯示，測(cè)評(píng)的16款手機(jī)客戶端軟件中，除了一家銀行外，其他銀行的手機(jī)網(wǎng)銀客戶端軟件均存在盜版現(xiàn)象，個(gè)別客戶端甚至有20個(gè)以上的盜版版本。

　　總體而言，正版下載量越高的網(wǎng)銀APP，盜版版本數(shù)也相對(duì)較多。同時(shí)報(bào)告還表示，16款手機(jī)銀行客戶端采用的均是“賬號(hào)密碼+短信驗(yàn)證碼”的認(rèn)證體系，但該體系在面對(duì)具有短信劫持功能的手機(jī)木馬攻擊時(shí)將不堪一擊。

　　發(fā)展迅猛，普及率過半

　　隨著移動(dòng)通訊技術(shù)的快速發(fā)展，使得銀行業(yè)務(wù)逐步從傳統(tǒng)的柜臺(tái)向更為便捷的網(wǎng)絡(luò)化方向轉(zhuǎn)移，手機(jī)銀行作為移動(dòng)網(wǎng)絡(luò)和商業(yè)銀行業(yè)務(wù)的結(jié)合體得到了極大的發(fā)展。

　　根據(jù)《中國(guó)手機(jī)銀行市場(chǎng)監(jiān)測(cè)數(shù)據(jù)報(bào)告2014年第2季度》數(shù)據(jù)測(cè)算顯示，2014年第2季度，手機(jī)銀行客戶交易金額達(dá)到5.99萬(wàn)億元，環(huán)比增長(zhǎng)達(dá)到8.1%。數(shù)據(jù)顯示，目前建行和工行手機(jī)銀行客戶總數(shù)已經(jīng)超過1億戶，交行、農(nóng)行、中行的客戶數(shù)也超過5000萬(wàn)戶，股份制銀行中，招行、光大的客戶數(shù)均超過 1000萬(wàn)戶。民生銀行也宣布，繼去年12月5日超過500萬(wàn)戶后，該行手機(jī)銀行客戶總規(guī)模在5月25日突破800萬(wàn)戶。也就是說，僅上述大中型上市銀行合計(jì)的手機(jī)銀行客戶就已突破4億戶。

　　手機(jī)銀行之所以發(fā)展這么迅速的關(guān)鍵還是廣大用戶提供了便利。它突破了傳統(tǒng)銀行時(shí)間、地點(diǎn)的限制，真正為客戶做到了隨時(shí)、隨地的辦業(yè)務(wù)，自從有了手機(jī)銀行，用戶不需要交通出行就可以在手機(jī)上操作完成，省下不少力氣。

　　據(jù)中國(guó)報(bào)告大廳發(fā)布的《2012-2017年中國(guó)手機(jī)銀行行業(yè)發(fā)展現(xiàn)狀及投資前景分析報(bào)告》了解到，目前，各家銀行都在為自己的手機(jī)銀行服務(wù)不斷升級(jí)，像“網(wǎng)點(diǎn)預(yù)約”、購(gòu)買理財(cái)、交水電費(fèi)等都能“宅”在家里輕松搞定。像廣發(fā)、交通等此類的商業(yè)銀行則推出了任意手機(jī)號(hào)轉(zhuǎn)賬及和二維碼取款等功能，進(jìn)一步為用戶提供方便。

　　防范山寨手機(jī)應(yīng)用須多方合力

　　雖然近幾年來(lái)手機(jī)銀行市場(chǎng)得到了很大的發(fā)展，積累了上億的客戶群體，但由于發(fā)展時(shí)間較短、網(wǎng)絡(luò)安全等方面的原因手機(jī)銀行業(yè)務(wù)仍然存在一些問題急需解決。

　　據(jù)相關(guān)人士表示，手機(jī)銀行的安全因素表現(xiàn)在多個(gè)方面，從SIM卡中的安全插件、標(biāo)準(zhǔn)安全設(shè)施到銀行的業(yè)務(wù)平臺(tái)與用戶手機(jī)SIM卡之間的加密機(jī)制，所有這些因素共同確保了手機(jī)銀行的安全性。銀行要保證APP的操作安全。譬如，聯(lián)通手機(jī)銀行基于CDMA無(wú)線網(wǎng)絡(luò)傳輸，該網(wǎng)絡(luò)最初產(chǎn)生并運(yùn)用于軍方，采用空中加密技術(shù)，安全性能很高；而手機(jī)銀行從手機(jī)端到銀行端實(shí)現(xiàn)了全程加密，同時(shí)還采用了數(shù)字簽名機(jī)制、手機(jī)與卡的綁定機(jī)制，這些加密算法基本沒有被破譯的可能，保證了客戶交易和賬戶資金的安全。另外手機(jī)銀行數(shù)據(jù)傳輸和交易過程均采用了高強(qiáng)度加密協(xié)議。每次退出交行手機(jī)銀行后，系統(tǒng)會(huì)自動(dòng)清除手機(jī)內(nèi)存中關(guān)于卡號(hào)、密碼等關(guān)鍵信息；而別名設(shè)定、交易和卡號(hào)綁定等內(nèi)容也都只保存在銀行主機(jī)里而不會(huì)存在手機(jī)里，即使手機(jī)丟失也不影響用戶的賬戶安全。

　　此外，治理山寨銀行APP，相關(guān)部門應(yīng)該加強(qiáng)監(jiān)管，完善應(yīng)用行業(yè)認(rèn)證標(biāo)準(zhǔn)和相關(guān)法律規(guī)定，制定軟件應(yīng)用商店安全標(biāo)準(zhǔn)和手機(jī)應(yīng)用安全標(biāo)準(zhǔn)；其次，安全廠商也應(yīng)加強(qiáng)應(yīng)用的審核力度，不僅要注重用戶體驗(yàn)，還應(yīng)提高應(yīng)用的安全性；再次，手機(jī)用戶要養(yǎng)成良好的使用習(xí)慣，提升自我防范意識(shí)，同時(shí)選擇具有安全認(rèn)證的正規(guī)的下載渠道，提升安全防范能力，才能真正讓不法分子無(wú)漏洞可鉆。

　　宇博智業(yè)市場(chǎng)研究中心認(rèn)為，手機(jī)銀行的發(fā)展不僅僅是銀行單方面的問題，還必須依托移動(dòng)運(yùn)營(yíng)商和卡商，以及手機(jī)安全廠商的共同努力，牽扯的利益群體較為復(fù)雜，在協(xié)調(diào)和產(chǎn)業(yè)鏈形成方面還有待時(shí)日。

更多手機(jī)銀行行業(yè)研究分析，詳見中國(guó)報(bào)告大廳《手機(jī)銀行行業(yè)報(bào)告匯總》。這里匯聚海量專業(yè)資料，深度剖析各行業(yè)發(fā)展態(tài)勢(shì)與趨勢(shì)，為您的決策提供堅(jiān)實(shí)依據(jù)。

更多詳細(xì)的行業(yè)數(shù)據(jù)盡在【數(shù)據(jù)庫(kù)】，涵蓋了宏觀數(shù)據(jù)、產(chǎn)量數(shù)據(jù)、進(jìn)出口數(shù)據(jù)、價(jià)格數(shù)據(jù)及上市公司財(cái)務(wù)數(shù)據(jù)等各類型數(shù)據(jù)內(nèi)容。