行业新闻与博客

Positive Technologies 的一项研究显示，由于应用程序安全性不足，一半的移动银行很容易遭受欺诈和资金被盗。分析发现，移动银行应用程序存在大量安全漏洞，网络犯罪分子可以利用这些安全漏洞访问敏感数据并进行欺诈。

Positive Technologies 表示，经过测试的 14 种移动银行应用程序中没有一个具有可接受的安全级别。关于客户端安装的应用程序，显示 43％的用户以明文形式在电话上存储了重要信息，从而使数据有被未经授权的一方访问的风险。此外，无需物理访问设备即可利用 76％的漏洞，而无需管理员权限即可利用超过三分之一的漏洞。

分析的每个移动银行在服务器端平均有 23 个漏洞，其中包含所有发现的漏洞的 54％。接近一半（43％）的服务器在业务逻辑中存在漏洞，攻击者可以利用这些漏洞访问敏感的用户信息并进行欺诈。该报告还指出，黑客可以在七分之三的移动银行中窃取用户凭据，而三分之一的卡信息则处于危险之中。

iOS 和 Android 应用之间的安全漏洞类型也有所不同。在 iOS 中，没有漏洞被评为“中”以上，而在 Android 中，有 29％是“高风险”。

Positive Technologies 分析师 Olga Zinenko 表示：“银行不受移动应用程序的反向工程保护。而且，它们在源代码保护上投入了很多精力，以明文形式将敏感数据存储在移动设备上，并且犯了错误，使黑客可以绕过身份验证和授权机制以及暴力破解用户凭据。通过这些漏洞，黑客可以获取用户名，帐户余额，转移确认，卡限额以及与受害者卡相关的电话号码。

“我们敦促银行在整个设计和开发过程中更好地强调应用程序安全性。源代码到处都是问题，通过实施 SSDL 实践并确保应用程序生命周期各个阶段的安全性，重新访问开发方法至关重要。

就在上周，联邦调查局（FBI）警告说，网络犯罪分子正在设法利用 COVID-19 期间日益增长的移动银行应用程序使用优势。

本文由机器译制