系统键盘输入增大信息泄露风险 银行APP需另寻安全对策 点击:97 | 回复:0



sanlengu

    
  • 精华:0帖
  • 求助:0帖
  • 帖子:217帖 | 0回
  • 年度积分:0
  • 历史总积分:478
  • 注册:2014年5月20日
发表于:2014-07-23 13:34:38
楼主



  很多人都记得,在U盾出现之前,我们用电脑网银汇款时,为了防止木马记录键盘按键盗取密码,银行都会提示是使用动态键盘,用鼠标点击输入密码。而在手机支付领域,这一问题仍然存在。据某信息安全中心刚刚发布的《2014年第二期中国移动支付安全报告》显示,当前安卓平台16款主流银行客户端软件中,有2款使用了系统默认输入法,由于系统默认输入法的数字排序和按钮位置均固定,所以很容易被木马记录,导致用户网银账号密码被盗。


  据了解,在使用手机银行客户端的过程中经常会输入支付密码、账户信息等关键信息。而一些木马也盯上了手机银行客户端,记录键盘输入是很多盗号木马的基本功能。而为了避免遭到木马记录,目前绝大多数手机银行客户端都使用“自绘固定键盘”和“自绘随机键盘”,但仍有还在使用“系统默认键盘”的情况。


  其中系统默认输入法的安全性最低,自绘固定键盘居中,自绘随机键盘安全系数最高。报告中指出,此次测试的16款移动支付软件中多数银行使用的是自绘固定键盘,安全指数最高的自绘随机键盘还并未得到被广泛应用,仅7款客户端使用了自绘随机键盘,更有2款软件选择了最易受到攻击的系统默认输入法。


  安全专家表示,系统默认输入与系统和银行客户端没有直接联系,因此,对于使用系统默认输入法的银行客户端软件来说,当用户在银行客户端中输入账户和密码时,输入的内容将直接传给银行客户端。因此一旦默认输入法感染恶意代码或被能记录键盘数据的恶意程序监控,用户输入的账号密码信息将轻易被黑客掌控。自绘固定键盘可以避免被第三方输入法监听的风险,但对键盘记录的防御能力依然有限。


  专家介绍称,自绘随机键盘的安全性要在之前两者之上,在输入账号密码时会生成随机键盘,使每次输入时点击的位置都不尽相同。如此一来,就算黑客能够监控到键盘记录,但也会因随机键盘的缘故难以猜测出用户输入的内容,其安全性自然也大大提升。


  山丽网安的专家提醒:手机客户端整体的安全系数并不如人们想象中的高,键盘监听类恶意程序对用户的财产安全的威胁依旧不小。为保证信息安全与财产安全,首先银行APP应通过正规的手机应用市场下载,其次为避免造成信息泄露以及财产损失的情况的发生,使用保护本源数据安全的加密软件,从根源防止信息被恶意窃取,保护个人信息安全。




热门招聘
相关主题

官方公众号

智造工程师