360手機(jī)安全中心發(fā)布國內(nèi)首份《手機(jī)銀行客戶端安全性測評報(bào)告》(以下簡稱“報(bào)告”)。報(bào)告對16家主流銀行手機(jī)客戶端進(jìn)行評測發(fā)現(xiàn)，少數(shù)手機(jī)銀行客戶端存在加密機(jī)制不完整等安全隱患，銀行類手機(jī)App整體安全狀況堪憂。

　　登錄階段已有漏洞

　　報(bào)告稱，16款銀行客戶端的登錄機(jī)制安全性測評中，暴露了兩類比較嚴(yán)重的安全隱患：一是加密機(jī)制不完整或過于簡單，很容易被攻擊者劫持或破解;另一類是在通信過程中不對服務(wù)端身份進(jìn)行校驗(yàn)，導(dǎo)致登錄過程很容易被“中間人攻擊”所劫持。

　　記者隨機(jī)訪問了幾位有使用手機(jī)銀行的市民。市民梁先生表示，自己很依賴某銀行的手機(jī)客戶端，同時他也很重視安全問題，“之前用安卓手機(jī)，后來聽說安卓系統(tǒng)不安全后，還特意去換了一部非安卓系統(tǒng)的手機(jī)?！?

　　銀行類App大多有山寨版

　　報(bào)告還顯示，測評的16款手機(jī)客戶端軟件中，除了一家銀行外，其他銀行的手機(jī)網(wǎng)銀客戶端軟件均存在盜版現(xiàn)象，個別客戶端甚至有20個以上的盜版版本?？傮w而言，正版下載量越高的網(wǎng)銀App，盜版版本數(shù)也相對較多。同時報(bào)告還稱，16款手機(jī)銀行客戶端采用的均是“賬號密碼+短信驗(yàn)證碼”的認(rèn)證體系，但該體系在面對具有短信劫持功能的手機(jī)木馬攻擊時將不堪一擊。

　　對于山寨App的情況，手機(jī)達(dá)人阿林表示，自己從不在第三方手機(jī)市場上下載銀行類App，“只要不破解系統(tǒng)、在官方市場下載，再配合安全軟件，安卓手機(jī)的安全性也沒那么糟糕。”