本报记者 胡晓晶

　　手机银行很方便，但也容易被“钓鱼”。据360手机卫士发布的国内首份手机银行客户端评测报告显示：包括工商银行、建设银行、招商银行、交通银行、中国银行、农业银行等在内，最新参与测评的16家主流银行手机APP均表现不佳，尤其少数手机银行的安卓客户端存在加密机制不完整、不校验服务器身份等安全隐患，有可能被电脑黑客或木马病毒所利用。

　　登录阶段就有危险

　　登录作为用户使用手机银行客户端的第一步，因为要输入银行账号及密码等敏感信息，安全性尤为重要。但本次测评发现，两类登录安全隐患明显：一类是加密机制不完整或过于简单，很容易被攻击者劫持或破解；另一类是在通信过程中不对服务端身份进行校验，从而导致登录过程很容易遭遇“中间人攻击”。其中，有2款手机网银APP用“HTTP（超文本传输协议）+简单加密”模式传输，极易被劫持或破解。

　　据悉，仿冒、钓鱼类的恶意程序很可能会采用这样一种手法：在后台监控前台窗口的运行，如果前台是一个银行应用的登录界面，恶意程序就立即启动自己的仿冒界面，这个动作可以快到用户无任何感知。而用户在无察觉的情况下一旦在仿冒的登录界面里里输入用户名密码，就会导致账号和密码被盗。更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面，而测评中16款手机银行APP没有一家能单独解决这类问题。

　　自绘键盘或被山寨

　　目前，多数手机银行客户端还会推荐使用自绘键盘，而自绘随机键盘虽能大大提高安全性和黑客攻击的难度，却也不是万无一失。如果手机银行客户端被注入了恶意模块，或者系统模块被恶意代码感染，则攻击者就可以通过Hook替换模式直接获取到密码明文。

　　测评显示：手机银行客户端使用最多的安卓组件是Activity（Activity是安卓系统提供给用户屏幕交互用的最常见应用程序组件），而测评的16家银行APP中有1款客户端有严重的Activity导出风险，还有2款客户端则存在Activity导出错误可至系统崩溃的问题。

　　密码+短信也不保险

　　安卓作为开放平台，攻击者可以较容易地使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严格的第三方市场中。这些被二次打包发布的盗版银行客户端软件，已对用户的支付安全造成了极其严重的安全威胁。

　　测评中，16款手机银行客户端均未能完全有效地防范逆向分析和二次打包，虽然一些客户端对自身签名进行了校验，但也很容易在重打包过程中被攻击者轻易篡改，起不到防止二次打包的作用。

　　同时，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，所以绝大多数用户仍然在使用“帐号密码+短信验证码”的认证方式，而实测发现这种传统认证体系在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。

　　最新数据显示，我国手机网民已达5.27亿，移动支付半年增长63%，中国消费者已经进入移动支付时代。然而，不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件，已经严重威胁到了移动支付安全。

　　来自360互联网安全中心的统计还显示：在本次测评的16款手机银行客户端软件中，有15家均存在被盗版的现象。个别客户端，甚至有20个以上不同的盗版版本；特别是正版下载量越高的网银APP，其遭遇盗版的版本数也越多。手机银行APP方便用，但安全与否也越来越值得银行业和消费者警惕。