手机银行客户端安全性测评报告-360研究报告.pdfVIP

手机银行客户端安全性测评报告 （2014 年第二期中国移动支付安全报告 ） 2014 年 7 月 16 日 摘 要  为了检验手机银行客户端的安全性，本次报告针对当前世面上最流行的16 家银行的16 款手机银行客户端应用进行了一次全面的安全性测评。  测试的主要内容包括：登录机制安全性、键盘输入安全性、Activity 组件安全性、进程 注入防护、反盗版能力和认证因素安全性这6 个主要方面的8 项具体测试。  少数手机银行客户端存在加密机制不完整，不校验服务器身份等安全隐患。  虽然多数手机银行客户端使用了自绘键盘，但自绘随机键盘并未被广泛使用。而且还有 2 款客户端使用了系统默认的输入法，这是非常不安全的。  有1 款客户端存在严重的Activity 导出风险，2 款客户端存在Activity 导出错误可至系 统崩溃的问题，其他客户端暂未发现由Activity 导出错误导致的安全风险。  在防范Activity 劫持，防止进程注入，反盗版/ 防二次打包，以及防止验证短信被劫持 等方面，所有16 款被检测的手机银行客户端的表现均不佳。  受到安卓系统的体系限制，很多支付安全性问题是难以靠手机银行客户端软件单独解决 的。因此，将手机银行客户端与具有支付安全保护能力的手机安全软件结合使用，是保 护移动支付安全必要的，也是最佳的选择。 关键词：手机银行、移动支付、加密、证书校验、输入法、Activity 组件安全、反盗版、短 信劫持 目 录 安全测评综述 1 第一章 登录机制安全性测试3 一、 加密机制3 二、 服务端证书校验5 三、 解决方案8 第二章 键盘输入安全性测试 11 一、 输入方式 11 二、 解决方案 13 第三章 ACTIVITY 组件安全性测试 15 一、 ACTIVITY 导出 15 二、 ACTIVITY 劫持 17 三、 解决方案 18 第四章 进程注入防护测试 19 一、 进程注入 19 二、 解决方案21 第五章 反盗版能力测试 22 一、 逆向分析22 二、 二次打包22 三、 解决方案23 第六章 认证因素安全测试 25 一、 双因素认证与伪双因素25 二、 验证短信防护测试25 三、 解决方案26 附录1 网银支付类恶意软件案例 28 一、 仿冒银行升级助手的木马28 二、 手机钓鱼木马伪装支付宝应用36 附录2 360 移动支付解决方案40 附录3 应用加固——“360 加固保”45 安全测评综述 继银行卡支付，网上支付（PC 端）之后，中国消费者已经快速进入了移动支付时代。 据 CNNIC 发布的《第 33 次中国互联网络发展状况统计报告》数据显示：截至 2013 年 12 月，我国手机网民规模达5 亿，较2012 年底增加 8009 万人；手机支付用户规模达到 1.25 亿，同比增长了 126.9%，占手机网民总量的 25. 1% 。可见，手机支付用户的增长速度远远 高于手机网民规模的增长速度。移动支付的时代已经到来，移动支付是互联网竞争的下一个 主战场。 手机银行客户端作为网上支付的重要工具，其自身的安全性是网民账户、资金安全的基 础。如果手机银行客户端存在安全隐患甚至是安全漏洞，就很有可能被电脑黑客或木马病毒 所利用，造成网民银行账户信息泄漏和直接财产损失。 为了检验手机银行客户端的安全性，本次报告针对当前安卓平台上最流行的 16 家银行 的16 款银行客户端软件进行了一次全面的安全性测评。测评对象包括： 中国建设银行 工行手机银行 农行掌上银行 招商银行 版本号：1.08 版本号： 版本号：2.0.0 版本号：2.2.0 交通银行