银行应用程序不安全的操作系统漏洞
移动银行应用程序的架构是安全的,交易是通过加密的隧道进行的,但如果移动操作系统本身就容易受到攻击,或者手机已经被恶意软件入侵,这些措施不足以保护用户。
BitDefender的高级安全研究员Bogdan Botezatu说,移动银行应用程序被设计成通过加密的网络渠道(如HTTPS(超文本传输协议安全))发送金融或个人数据。
为了实施攻击,网络罪犯必须建立另一个移动应用程序来充当中间人,并获得根特权,为特定的手机部署证书。Botezatu解释说,有了这些设备,他们就可以从设备中提取信息。
然而,他补充说,这种攻击还没有在野外被发现,因为它太复杂,无法在商业级恶意软件中实现。
ABI研究公司网络安全部门的高级分析师Michela补充说,手机银行应用程序也可以通过遵守操作系统制造商的沙箱要求而得到保护。
沙盒通常是指应用程序设计遵循指定参数内的一组指定的应用程序编程接口(api),并且没有数据持久性或能力从沙盒外的手持设备访问资源或数据。
标准的支付交易也必须遵守ISO 8583,这是ATM网络上使用的命令序列的国际标准。
她补充说,银行交易也可以使用开放金融交易(OFX)协议,这是大多数金融机构用来支持Quicken和Microsoft Money个人理财应用程序之间交易交互的交易格式标准。
操作系统漏洞风险
他指出,尽管如此,移动操作系统的漏洞和无线网络可能会为攻击者提供一种途径,让他们能够拦截或监视用户的银行交易。
她补充说,当用户越狱他们的设备时,这些风险会增加,无论是苹果的iOS还是谷歌的Android手机。
“应用程序有多安全并不重要。如果承载它的环境不安全,那么银行事务和身份验证信息可能会受到危害,”ABI分析师说。
Trustwave Asia-Pacific的SpiderLabs管理顾问马克•鲍恩(Marc Bown)对此表示赞同,他表示,移动应用程序不受操作系统漏洞的保护。
他指出,尽管这些应用程序有沙箱等保护措施,但事实证明这些安全层是可以克服的。
考虑到有许多第三方应用程序商店为网络罪犯提供平台,让他们散布假银行应用程序,因此将Android操作系统识别为特别危险的操作系统。安全公司Blue Coat本月发布的一份报告称,40%的Android恶意软件是通过“malnets”发送的。“这证明了网络罪犯是如何成功利用嵌入式基础设施攻击移动用户的。”
熊猫安全公司PandaLabs的高级技术总监路易斯·科龙斯(Luis Corrons)表示,一旦网络罪犯获得了对手机的完全访问,在该设备上进行的任何通信都是不安全的。
例如,远程控制设备可以卸载真正的银行应用程序,并安装一个外观和感觉相同的流氓应用程序。用户不会知道这不是同一款应用程序,他的所有信息都会被攻击者获取,corron观察到,并补充说,目前这只是一个理论,并没有在现实中发生。
同样易受影响的移动浏览器还表示,在移动浏览器上进行的银行交易也不安全。毕竟,即使是非越狱设备也可能包含恶意软件,比如通过第三方应用程序安装的间谍软件,这些软件能够监视浏览器和应用程序活动。
Corrons则更进了一步,表示由于人们经常使用浏览器进行其他网页浏览,这可能会导致其他网络威胁,因此移动浏览器将更容易受到攻击。
归根结底,汀恩认为,保护移动银行应用程序的方法是部署无法轻易复制或拦截的身份验证方法。例如,双因素身份验证使用物理令牌生成器,并不存储在移动设备中,她指出。
星展银行的一位发言人告诉ZDNet Asia,他们的移动银行应用程序保护用户免受操作系统的攻击,当用户关闭该应用程序时,他们会自动注销,并通过2FA交易对用户进行身份验证。