多项调查报告显示,大多数移动银行APP——包括著名的大型金融机构,都包含了很多配置和设计缺陷,安全性极差。
移动安全公司Praetorian的安全专家们本月测试了275个iOS和Android平台的移动银行APP,其中50个来自全球主要金融机构,50个来自大型地方银行,50个来自大型美国信用卡联盟。
评估报告显示,80%的移动银行APP配置不正确,而且没有采用遵循正确的软件开发实践。接受移动银行APP测试的金融机构中不乏美洲银行(编者按:这还是全球最早推出移动银行服务的金融机构之一)、花旗银行、高盛、摩根斯坦利、Captital One Fiancial等。
Praetorian研究报告的出炉恰逢移动银行进入高速增长阶段,根据Pew Research Center的报告,目前美国成人中有35%使用移动银行,去年这个数字只有24%。而NSS Labs的最新报告显示移动银行每年增速高达70%。
Praetorian指出目前移动银行APP的安全问题并非业务逻辑或者特定的软件问题,而是移动应用行业普遍存在的安全弱点——很多开发者该做的事情没有做。参考阅读:安全始于程序员,安全开发的九大建议
值得注意的是,Praetorian进行的安全评估并非入侵测试,并未涉及移动银行的后台交易(75-90%的交易在后台完成),也没有获得许可进行诸如SQL注入等测试。
NSS Labs则在最新的《移动银行安全报告》(点击下面链接下载)中指出,移动银行APP大多不是原生APP,而是打包的HTML移动网站,因此非常容易受到攻击。
[wpdm_file id=11]
移动银行如今正在成为网络犯罪分子的重点目标,安全隐患不仅仅来自APP,也来自Web,根据趋势科技的统计,2013年第三季度移动钓鱼网站接近半数(42.28%)针对金融网站,其次是电商(24.8%),其他钓鱼攻击对象还包括电信、邮件、社交网络等。