刚刚过去的2013年,在互联网金融理财和移动支付两股力量的驱动下,移动金融发展迎来井喷-越来越多的智能手机用户正在尝试用手机完成购买、理财、以及支付。
移动金融普及 木马及恶意App成最大威胁
有数据显示,目前习惯使用移动支付的用户已经达到了1.25亿,而这一数字仍然以几何数字增长。
伴随着移动金融的快速发展,安全问题正日益凸显,TechWeb为此进行了调查,发现在移动互联网领域山寨App和二次打包正成为最大的安全威胁,但短时间内这种威胁还不会大规模爆发。
木马及恶意App威胁大
LBE安全大师总裁张勇告诉TechWeb,和小王一样有移动支付的网民对安全的担心并不是杞人忧天,随着手机游戏、手机电商带动的手机支付的火热,移动支付方面的安全问题确实开始显著起来。
据一项移动支付安全报告显示,2013年以来,360互联网安全中心共截获支付及购物类恶意程序2962个。其中假冒类木马为最常见的移动支付恶意程序,占总比约74%。常见的威胁包括假冒类木马、恶意插件、含木马短信、二维码病毒等。
张勇表示,仅就手机端的安全问题而言,由于恶意APP引发的资金账户风险问题已经开始逐渐显现。
据了解,恶意App来源主要有两种:一是不法分子山寨手机银行、支付类App,山寨App与正版相似度极高,用户几乎无法分辨,一旦用户用其登陆,账号和密码便会被窃取,发生财产被盗等情况;另一种是由于手机感染木马、病毒,正版的App被二次打包,植入恶意代码,窃取用户账号和密码。
目前,山寨App的问题还不是很普遍,但二次打包的现象已经十分严重。据腾讯安全中心的一项数据显示,截至2013年10月,建行App被二次打包过9次,艺龙旅行App被打包的次数更是高达203次。
梆梆高级安全研究员彭大伟告诉TechWeb一个真实的案例,一名淘宝卖家,支付宝账户存有大量资金。有买家主动联系其称要购买商品,并让这位卖家用手机扫描一个二维码,获取购物清单。卖家扫描后下载并安装了一个来源不明的应用,随后手机支付宝钱包里的资金便被转走。“这位卖家下载的实际上就是木马或者病毒,通过窃取了其账号和密码,盗走资金。”
“在我们收集样本的过程中,还发现银行类App的登陆界面还存在着页面被远程截图、键盘数据被记录等风险,可能会导致用户的账号、密码泄露。”彭大伟对TechWeb表示,目前这还只是潜在的风险,还未出现真实的案例。
移动金融面临如此之多的风险,普通用户还能放心使用吗?
张勇表示,虽然手机端资金账户风险逐渐增长,但是并没有呈现爆发的趋势,主要由于手机攻击主要是点对点攻击,并不会大规模爆发。
彭大伟对此进行了更通俗的解释,在PC端,病毒、木马可以通过移动存储设备进行广泛的传播,但在手机端并不存在这样的传播介质,所以即使一个手机感染了病毒、木马,也很难对其他手机产生影响。
“保障手机端金融类产品的安全,需要用户自身提高防范意识。”彭大伟表示,用户从正规可靠的应用商店下载App可以减少很多不必要的麻烦。iOS是封闭系统,如果不越狱在安全方面还是比较有保障的,而对于Android,App的来源渠道较多,用户不能随意安装来源不明的App,同时尽量不要获取系统的root权限。
张勇表示,手机卫士类的产品能够起到一定的保护作用。一方面,手机卫士能够查杀已知的病毒、木马,定期体检可以保障App外部运行环境的安全;另一方面,手机卫士通过把市场上已知正版App的签名存档,进行签名比对,能够检测出相关山寨App,并对用户进行提醒。
彭大伟透露,除了外部运行环境的安全,越来越多的App开发者,尤其是银行意识到对App加固的重要性,加固之后病毒、木马将不能在对相关App进行二次打包,能够从根源上防范恶意App。
“当然,道高一尺,魔高一丈。总是先出现病毒、木马,才能有相应的应对措施,但安全厂商和病毒、木马制造者是一种动态的平衡,总体的安全环境能够比较长时间保持。”彭大伟告诉记者,用户自身加强防范,移动金融业务不会出现太大的安全问题。
