【实测】银行手机客户端:登陆安全是个大问题

文章正文
发布时间:2024-07-15 05:44

360手机安全中心周末发布了《手机银行客户端安全性测评报告》,针对当前主流的16家银行移动客户端应用进行了安全性测评。结果显示,在安卓系统下的有效拦截账号密码盗取等多项问题测评中,上述主流银行全军覆没。

446万,是在周末两天内迅速发酵的有关上述报告的百度搜索结果条目数字。在移动互联网进入极速发展的今天,手机银行不再仅仅是转账和存取款的交易载体,它所承担和运载的个人投资理财和金融业务已大大扩围。对安全性问题的担忧十分必要。然而,当我们此前喋喋不休抱怨某些银行APP用户体验差到极致的时候,对潜在安全隐患的预期其实已在意料中滋生。

不要妄想一个连用户体验都做不好的银行APP,可以拿出极度负责和专业的态度应对手机安全问题。

但本篇测评并不是技术性安全问题讨论。向外,这需要依赖杀毒软件和良好的自我防范意识;向内;更需要金融机构在抢滩互联网领地的同时打磨好自身功夫和意识。我们接下来的产品测评将主以用户体验和业务创新为主,并结合上述报告提醒大家何处是隐患多发区。这或许对手机用户来说,是对待银行机构和黑客最好的对策。

【本期测评产品:招商银行、光大银行手机客户端】

** 登陆及退出安全 **

登陆安全,是上述报告当中的安全隐患重灾区。

广义的登陆安全,从你开始想要下载客户端的那一刻便开始了。根据上述报告,个别客户端甚至有20个以上的盗版版本。对于目前的手机使用环境来说,基本的安全常识已经升为至官网或主流软件下载平台,下载具有官方认证标志的应用。

下一步,是基于正确下载官方应用的前提下登陆软件。

如下图所示,16款银行客户端登录机制安全性进行测评中,“炸弹”多集中在两类问题上:加密机制不完整或过于简单,以及在通信过程中不对服务端身份进行校验。这两种情况都极容易被攻击者劫持或破解。

以招商银行一卡通登陆和退出环节开始进行实测。

根据招行官网自己的表述,招行手机银行采用的SSL协议进行加解密,为上述报告中使用HTTPS通讯协议进行传送的“合格产品之一”。此外,招行手机银行还开设有登录IP变动检测、转账额度自主设置等安全措施防护。

在实测过程中如下图所示,如果此前有登陆记录,二次登陆时会留下卡号记录。登陆信息分别是卡号、密码、验证码,无短信验证。简单来说,招行采用的是静态密码与图形验证码结合的加密机制。

登陆略显简单。未防止并剔除二次登陆的影响,测评中还在另外一部新办的、非实名制的苹果手机上以同样的卡号信息登陆,依旧畅通无阻。页面显示的加密机制为安全输入键盘。面对猜中密码和截获数据的两种略显矛盾的潜在风险,招商银行更在意后者。招行客户端宣传显示,“SSL安全协议的数据加密传输,即使网络传输的数据被截获,也无法解密和还原”。虽然短信验证也容易引来恶意拦截,但仅知道密码就可以在任意设备上登录使用,也多少让人不大放心。

光大银行手机客户端方面,据光大官网自我表述,手机银行使用了自定义键盘的方式输入登录密码,通过非对称加密、转加密等一系列加密机制进行账务处理验证,采用序列化机制及防重复提交机制避免交易信息被恶意篡改等,进一步保证客户交易的安全性。

本次测评启用的阳光商务理财卡。同样是二次登陆,光大银行只需要输入登录密码便可支持用户登陆。登陆页面采用了光大加密键盘。无静态验证码、短信等验证过程。

而在新设备登陆的测试中,光大银行手机客户端虽多了一项签约手机、身份证号码的验证环节,但同样没有动态验证码的进一步核对。

接下来的实测环节,将主要针对登陆中的防盗刷措施。

高级的木马病毒攻击于无声,且多利用逆向分析和二次打包等隐秘手段;用户目前只能以防范为先。除保障下载正版应用外,也应该保持手机自身使用中的干净、小心。同时,我们仍要对意外状态保持先知先觉。就比如手机被抢……

虽然是我们最不愿意遇到的一个场景,但手机使用过程中意外被他人获得,此时盗刷措施也多半不会很高科技,可能仅仅是多试几次密码输入等。那么,招商银行和光大银行的防范措施又如何呢?

如下图所示,在测评中在招商银行手机客户端连续五次正确输入验证码、故意输错密码后,客户端仅提示登录失败和查询密码错误的字样。若验证码输入错误,则提示登录失败和无效附加码。无次数限制,无限制登录保障。且在多次输错之后,输以正确的登录密码仍能瞬间登陆。

光大银行则表现相对谨慎。连续三次输错密码,客户端将锁定2个小时不能登陆。

而超时退出,是手机银行登陆安全的另一个细节表现。

手机的使用私密度和设备公开化,总在各种场景下存在着矛盾。广义上来说,超时退出主要由应用打开运营时的操作延时,以及返回主页面后的再进入等各场景。毕竟,忘记关闭网银又把手机借给别人,这种时候也很经常。

招商银行在超时退出中表现较为大胆。在操作中途直接返回主菜单,手机会提示招商银行仍在后台运行。超时退出的时间限制,测评中没能在官网搜索到具体的明文表述。但在实测中,5分钟没有任何操作且自动黑屏后,程序仍在正常运营。另外,直接退出并短时内再次进入程序,招行客户端也是支持正常使用的。所以,喜欢招行便捷服务功能的投友们,继续不要轻易借出自己的手机哦。完全的退出操作,是连续两次点击返回键!

光大银行客户端方面,程序打开状态下的超时退出限制为5分钟。另外,直接返回手机主页面后再次进入程序,测评中最长时间间隔为4分钟时,光大银行客户端已经显示需要重新登录了。虽说该版本的客户端仍在服务板块上不及招商客户端完善,但是略偏谨慎的操作安全防范却更胜一筹。

** 产品创新环节实测 **

瑕不掩瑜,这是在互联网时代必须要摒弃的观念。

任何一点事关安全、体验的“瑕”都会彻底葬送掉互联网产品的本身。但银行手机客户端则有点特殊。其凭借业务在移动端唯一平台窗口的优势,曾一度完全无惧用户群流动问题。但伴随互联网金融的冲击、行业交叉覆盖的进一步渗透,已经出现完全产生于移动端的新业务形态。银行手机客户端,已经成为各家必争之地。然而落地,却略显有气无力。

* 招行的微信银行和朝朝盈 *

招商银行的最近一次新业务升级创新,即为本月初推出的招商“微信银行”。在其手机客户端中的用户专区下现已呈现。在微信开放了公众平台消息接口后,招行信用卡中心公众号曾最先推出微信客服号,用以余额查询等业务。而此次升级完成后,号称业务范围则扩展至借记卡和信用卡综合业务,可以实现转账汇款、手机充值、预约办理等服务。

从客户端通过一系列扫描二维码、关注公众号等操作,便可进入招商银行的微信银行。底部服务导航栏下分别有“我”、“发现”、“无卡取款”三项业务。但逐一点开可发现,真正可在招商微信银行办理的非咨询类实际业务,并不多;主要有办卡和贷款申请、微彩票。其他如余额及账单查询、商家特惠、无卡取款等都为信息资讯类业务。

业务形式大过实质、创新雷声大雨点小,或许是银行拥抱微信类社交平台不得不选取的姿态。不解决用户数据这样一个核心问题,双方或很难互诉衷肠。然而在招商银行手机客户端内,已悄然推进部分新业务新产品,暗自叫板互联网巨头。

在客户端内“我的账户”的个人资产及负债数据下,有“朝朝盈”产品的注册开户入口。标红的处理“炒高收益、0秒赎回”在页面上看起来十分扎眼。这是银行反击“宝宝类”理财产品的一个分战场,民生如意宝等也已做出了先例。根据招行信息显示,朝朝盈业务产品目前仅有“招商招财宝货币市场基金”一只,但可投资产品未来有扩容计划。

作为银行类宝类产品,“朝朝盈”强调仅向客户端用户开放。点击进入后,并无复杂和尽责的风险评估,注册了“朝朝盈”。此后的操作,与阿里一年前推出的余额宝基本一致。不再赘述和测评。

截至21日的7日年化收益率为4.988%,万份收益为1.2041元。同日的余额宝7日年化收益率为4.182%,万份收益为1.1166元。但相比其他银行同胞们的宝类理财产品,优势却并不明显。同日交行快溢通(易方达1)7日年化收益率为4.756%;但每万份日收益高于朝朝盈,为1.7918元。银行宝类收益率最高的当为兴业掌柜钱包,同日的7日年化收益率已达5.11%,每万份日收益1.351元。

招商银行手机客户端上的金融业务板块,内容及产品设计已较为明晰。在其八类栏目下,仍以金融行情、理财产品介绍为主,但同时已支持客户端申请或预约开办信用卡。此外,招商银行手机客户端还在商旅预订、电影票游戏点卡购买、移动端电商等生活服务类业务上,与互联网公司们暗自较劲;e代驾的推出,还暴露了招商银行对LBS领域拓展的野心。

而招商银行在移动互联网化推进中,最值得同行借鉴的则为推出针对招行信用卡的客户端“掌上生活”。该客户端强化和拓展了招商信用卡的各项服务,包括申请开办信用卡、充值缴费、交通罚款和彩票等,且业务范围和商家规模远胜于招商银行手机银行客户端同类业务。同时,启用积分业务也一定程度增加了用户粘性。

* 光大银行的瑶瑶缴费和手机支付  *

光大银行的手机客户端相对功能集中,目前仅金融助手、手机银行两个栏目页面。金融助手业务板块下,包括了理财产品购买、信用卡激活和分期设置等涉卡业务,以及话费充值、机票游戏点卡购买等生活业务。虽功能较招商银行手机客户端较为简单,但实测发现下述业务均可实现在客户端上的购买落地,无需再经过柜台的认证开通。

光大银行发力移动客户端的另一个动作,是推出整一年的瑶瑶缴费。这是独立于光大银行手机客户端的缴费集成平台,其特色在于同时支持其他银行卡支付。在去年底光大银行对外公布的一组数据显示,瑶瑶缴费缴费规模已突破百亿元,平台内覆盖了水、电、通讯、燃气等十余类近340项的缴费业务。

然而以上海地区手机号码注册登录之后发现,缴费便利性较之数据大打折扣。目前,瑶瑶缴费在上海地区仅7类缴费业务;而“340项”的数据统计口径或是已不同区域的缴费条目为样本。而在瑶瑶缴费的支付环节,客户端指示将跳转至银联支付平台,而非光大银行本身的结算业务。瑶瑶缴费独立于光大客户端存在、非光大结算等诸多表现似乎显示,光大银行欲发力移动端尚难从此处借力。