网易浙江省嘉兴市手机网友【810810】在一问易答中问:
随着智能手机的日益普及,越来越多的朋友开始享受着各类App为我们的生活所带来的便利,其中手机银行正是这样一类能够给我们的生活带来足够便捷的应用,它能够让你随时随地掌握到自己银行卡的余额,也能够让你足不出户的进行转账支付等操作。不过当人们利用智能手机享受生活的同时,一些不法分子自然也不会放过智能市场这一大块肥肉,于是手机银行就成为了他们针对的目标。
相信很多朋友都记得,在U盾出现之前,我们用电脑网银汇款时,为了防止木马记录键盘按键盗取密码,网银都会提示使用动态键盘,用户只能用鼠标点击输入密码。而在手机支付领域,一些银行也启用了类似的“手机安全键盘”那么,这类安全键盘是否真的安全呢?
就目前来说,各银行的手机银行客户端的安全键盘并不统一,有些是采用了自绘固定键盘的形式,有些采用了自绘随机键盘,而有些甚至直接使用系统默认键盘。
单纯从几种键盘的安全性来分析,自绘随机键盘同自绘固定键盘的安全级别都是比较高的,相比之下,自绘随机键盘更安全一些,而系统默认键盘的安全系数则比较低,几乎没有任何安全保障。
因为系统默认输入法与系统和银行客户端没有直接联系,因此,对于使用系统默认输入法的银行客户端软件来说,当用户在银行客户端中输入账户和密码时,输入的内容将直接传给银行客户端。而一旦默认输入法感染恶意代码或被能记录键盘数据的恶意程序监控,用户输入的账号密码信息将轻易被黑客掌控。
自绘固定键盘可以避免被第三方输入法监听的风险,但对键盘记录的防御能力依然有限。因为即便黑客无法对输入法进行监听,也能够通过其他方式从后台监控到键盘位置的输入记录,如果密码位置是固定的,那么在输入过后,黑客便能够通过监控到的位置反馈数据猜到你的密码。
而之所以说自绘随机键盘的安全性更高,是因为在用户输入账号密码时会生成随机键盘,使每次输入时点击的位置都不同。如此一来,就算黑客能够监控到键盘记录,但也会因随机键盘的缘故难以猜测出用户输入的内容,其安全性自然也大大提升。
前几日,一家安全中心就对16款移动支付软件进行了安全性测试,其中只有7款app采用了自绘随机键盘,2款采用了系统默认键盘,其余均采用了自绘固定键盘。
可见,手机银行客户端整体的安全系数并不如想象中的高,键盘监听类恶意程序对用户的财产安全的威胁依旧不小。
说到这儿,可能有朋友会问了,现在很多手机银行都是采用了账号密码+短信验证的形式,没有我的手机卡,谁能盗我的银行卡呢?
如果你也这么想,那真的是大错特错了,要知道,手机的木马程序可不同于PC,因为是直接同手机相连接,所以这种依靠短信的防护机制在面对具有短信劫持功能的手机木马攻击时,可以说会变得十分脆弱。
一款名为“劫银刺客”的手机木马,就是靠点击的短信链接来盗取用户的银行卡、身份证等信息的。同时该木马会拦截银行或网银端发来的支付验证码短信,神不知鬼不觉盗取网银资金。
除客户端本身的问题外,安卓系统漏洞也经常被黑客利用。进程注入就是一种很典型的利用漏洞攻击客户端的方法。由于安卓系统存在严重的碎片化问题,用户手机中诸多的系统漏洞无法在第一时间修复。因此木马程序就有机会借助这些漏洞提升root权限,完成对银行客户端的注入。而这就导致了黑客很可能会屏蔽掉银行的服务器,你所输入的账号密码会直接发送至黑客的服务器,后果就可想而知了。
所以,为了尽量避免造成损失,大家还是应该养成在官网下载手机银行的习惯,同时不要轻易扫描陌生人发送的二维码、点击陌生的短信链接。如果发现手机突然变卡,记得使用安全软件扫描一遍,必要时不要吝惜给银行打电话,申请冻结银行相关业务。
好啦,今天的回答就到这里,正所谓回答有长短,问题不要停,每天问一问,轻松又开心,提问要注意些什么呢?还是老生常谈的话题,亲们要仔细看清楚哦!
问题要有意义,要同手机相关,比如:“移动4G通话回落为何不是3G,3000元的预算,哪款手机值得买?”而灌水内容如“小编是SB,小编又调皮了”等都是不被推崇的,当然,如果你真的发了,小编我也只能忍下,在每周六上线的《跟帖囧选》中爆发了(桑心~~~)。
为了维护栏目优质的交流环境,希望大家能够遵守秩序,少灌水,多提问,让有需要的朋友学到知识的同时,也能够提高自己对手机的理解。
最后声明:积极回答提问的小伙伴都将获得每周六在《跟帖囧选》中的上榜机会,我们每月会评选出一份“最好学”奖以及“最热心”奖,并送出相应的神秘实物奖励,什么?你问是什么神秘奖励?跟帖点亮红名是必须的了,还有神马?恕小编不能透露太多,大家试试就知道咯。
往期回顾:《一问易答》问题列表