? ? ?官方的中國互聯(lián)網(wǎng)信息中心(CNNIC)發(fā)布的報告顯示，截至今年6月，手機網(wǎng)民規(guī)模5.27億，較2013年底增加2699萬人。在這當(dāng)中，使用了手機網(wǎng)上銀行APP的用戶規(guī)模達(dá)到1.83億人，半年間增長了6603萬用戶，其56.4%的增長速度遠(yuǎn)遠(yuǎn)高過網(wǎng)民增長的規(guī)模。

? ? ?大多數(shù)手機用戶對銀行類APP的便利性和功能性點贊。事實上，截至到11月18日，各大主流的安卓平臺綜合數(shù)據(jù)顯示，建設(shè)銀行的APP下載量即將突破一億人次，工行、農(nóng)行、交行和招行緊隨其后——短短數(shù)月間銀行類APP的下載量增幅還在加大。

? ? ?但在滿足了便捷性和功能性的需求后，銀行類APP的安全性又如何？從騰訊手機管家到此前360安全中心以及第三方咨詢機構(gòu)都先后發(fā)出提醒：由于其與資金安全的緊密關(guān)聯(lián)，銀行類APP仍然面臨很多風(fēng)險，這風(fēng)險既來自于其本身的安全設(shè)計，也有假冒APP防不勝防的因素。

? ? ?21世紀(jì)經(jīng)濟報道記者根據(jù)相關(guān)技術(shù)測試報告和報道整理出銀行APP在以下幾個方面存在的風(fēng)險(程度各有不同)和相應(yīng)的防范提示，希望能讓讀者在享受移動互聯(lián)網(wǎng)時代便利的同時注意規(guī)避風(fēng)險。

? ? ?1。安全系數(shù)還需加強

? ? ?360安全中心今年7月發(fā)布 《手機銀行客戶端安全性測評報告》，針對16家銀行的APP進(jìn)行了登錄、鍵盤輸入、組件安裝、認(rèn)證等多個環(huán)節(jié)的安全測試，發(fā)現(xiàn)出不少問題。

? ? ?《360報告》顯示，其中至少有兩款銀行的APP從登錄環(huán)節(jié)便存在隱患：一款A(yù)PP加密機制不完整或過于簡單，導(dǎo)致APP容易被破解，而另一款則在通信過程中缺少對服務(wù)端身份校驗的步驟，導(dǎo)致登錄環(huán)節(jié)容易被攻擊劫持，“由于是與虛假的服務(wù)器進(jìn)行通信，因此，所有通信內(nèi)容事實全部都可以被‘中間人’獲得和解密”。

? ? ?而在認(rèn)證環(huán)節(jié)，16款銀行APP都是采用“賬號密碼+短信動態(tài)驗證碼”的方式對用戶進(jìn)行身份認(rèn)證，但《360報告》指出，當(dāng)手機被有攔截短信功能的手機木馬攻擊時顯得很脆弱。

? ? ?作為應(yīng)對，已有部分銀行開始推廣音頻盾、藍(lán)牙盾等雙因素認(rèn)證系統(tǒng)，但在簡單的“賬號密碼+短信驗證”的方式面前還不是足夠便捷，因此目前還未成為APP使用的強制性認(rèn)證方式。

? ? ?2。假冒APP風(fēng)險常在

? ? ?《360報告》指出，另外也有不少手機在反盜版這個環(huán)節(jié)存在欠缺，16款A(yù)PP中有15款均有盜版版本，有的甚至有20個以上的不同盜版版本。《報告》指出，16款A(yù)PP均不具備防止逆向分析和二次打包的能力，有些存在手機簽名漏洞，這為篡改APP或二次打包APP創(chuàng)造了可能。

? ? ?騰訊手機管家的《第三季度手機安全報告》就提到，其于11月26日截獲了一個冒充成正常建設(shè)銀行APP的手機病毒程序，用戶登陸后會收到頁面的提示，要求輸入銀行卡、賬戶密碼等信息。

? ? ?在完成輸入之后，這個假冒成建行APP的病毒程序會自動退出，并從手機桌面消失。但這個病毒程序?qū)嶋H上還在后臺運行，并將用戶所填寫的銀行卡賬號、密碼等信息發(fā)送至指定號碼中，詐騙者就很容易利用這些信息對用戶的銀行卡賬戶進(jìn)行盜刷。

? ? ?3。明辨APP來源

? ? ?第三方的艾媒咨詢今年5月發(fā)布的報告也給出數(shù)據(jù)，僅以一季度的統(tǒng)計，手機病毒傳播的途徑包括論壇和應(yīng)用市場，因此用戶在下載或更新來自論壇和應(yīng)用市場的銀行APP時需要明智地辨別其安全程度。

? ? ?根據(jù)這份報告，一季度感染手機支付類應(yīng)用中，銀行APP受害比例為13.6%，排入前三，僅次于電商支付平臺APP和理財產(chǎn)品的APP。多家媒體的報道假冒APP詐騙案例時都提醒，下載和更新銀行APP時，一定要從官方網(wǎng)站等渠道進(jìn)行操作。由于如今偽基站已經(jīng)可以冒充銀行官方賬號向用戶發(fā)布短信，用戶也尤其需要仔細(xì)辨別短信中銀行網(wǎng)址信息是否正確。