《报告》显示,虽然一些客户端对自身签名进行了校验,但也极其容易被攻击者轻易篡改,起不到防止二次打包的作用。总体来看,本次测评的16款手机银行客户端均未能完全有效地防范逆向分析和二次打包,而二次打包后的盗版应用会严重威胁手机用户的支付安全。
图:某银行客户端软件被二次打包后的截图
据360互联网安全中心数据统计显示:本次测评的16款手机客户端软件中,除了一家银行之外,其他银行的手机网银客户端软件均存在盗版现象。个别客户端甚至有20个以上不同的盗版版本。总体而言,正版下载量越高的网银APP,盗版版本数也相对较多。
据了解,攻击者可以使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码,这样就可以篡改原始客户端程序的执行流程,截获用户的账号名、密码等隐私数据。而且二次打包后的盗版应用从外观上和实际体验上都与正版应用无异,普通用户对此毫无感知能力。一旦这些盗版银行客户端软件被发布到审核不严格的第三方市场中,就会严重威胁手机用户的移动支付安全。
对于如何防范盗版,《报告》则指出,一种方法是对手机银行客户端进行签名校验,另一种是进行加固处理。一些手机银行客户端软件中加入了对自身签名进行校验的代码,但对于具有相当技术能力的盗版作者来说,找到并移除签名校验代码,或者是屏蔽签名校验代码的功能并不是一件很困难的事情。因此,这种方案很难彻底的解决问题。
但是,手机安全软件等第三方监测工具,则完全有能力校验手机银行客户端软件的数字签名并鉴别真伪。由360手机卫士等手机安全软件对手机银行客户端软件进行签名校验,要比客户端软件自己进行签名校验的方法可靠得多。
对手机银行客户端进行加固处理也是反盗版的有效方法,由于程序事先经过了加密处理,盗版作者对程序进行逆向分析难度也就大大增加,通常很难在原有代码中混入恶意代码,从而可以有效的阻止应用程序被篡改和二次打包。
据了解,针对移动支付面临的种种安全威胁,360与建设银行、农业银行、工商银行、中国银行、民生银行等十余家银行展开了安全服务合作,为手机银行客户端提供独立的移动支付安全模块定制服务,该模块被集成到手机银行客户端中,从而全面提升手机银行客户端的安全性。
手机银行客户端安全性测评报告(2014年第二期中国移动支付安全报告)全文:http://aczmf82qwr.l5.yunpan.cn/lk/QCyX9ckSLfHcN
