當(dāng)下移動(dòng)支付發(fā)展迅猛，手機(jī)銀行也順勢而上。日前，360手機(jī)安全中心對外發(fā)佈了國內(nèi)首份手機(jī)客戶端(APP)的評測報(bào)告《手機(jī)銀行客戶端安全性測評報(bào)告》。報(bào)告中針對16家主流銀行手機(jī)客戶端進(jìn)行評測發(fā)現(xiàn)，少數(shù)手機(jī)銀行客戶端存在加密機(jī)制不完整等安全隱患，銀行類手機(jī)APP整體安全狀況堪憂。

　　手機(jī)銀行客戶端作為網(wǎng)上支付的重要工具，如果存在安全隱患，將會(huì)造成網(wǎng)民的賬戶資訊泄漏和直接財(cái)産損失，如何保證手機(jī)銀行安全還待各方努力。

　　手機(jī)銀行“步步危機(jī)”

　　據(jù)360手機(jī)安全中心發(fā)佈《手機(jī)銀行客戶端安全性測評報(bào)告》稱，16款銀行客戶端的登錄機(jī)制安全性測評中，暴露了兩類比較嚴(yán)重的安全隱患：一是加密機(jī)制不完整或過於簡單，很容易被攻擊者劫持或破解；另一類是在通信過程中不對服務(wù)端身份進(jìn)行校驗(yàn)，導(dǎo)致登錄過程很容易被“中間人攻擊”所劫持。就目前關(guān)於手機(jī)銀行客戶端造成經(jīng)濟(jì)損失的案件來看，大多數(shù)都是因?yàn)轵?yàn)證方式過於簡單而造成的資訊洩露。不過專家認(rèn)為，不論使用的是何種登錄加密機(jī)制，如果客戶端在登錄過程中不對服務(wù)端的身份進(jìn)行校驗(yàn)，就有可能“信任”偽裝身份的“冒牌服務(wù)端”，連接到假冒的銀行服務(wù)端上，從而導(dǎo)致用戶名、密碼等資訊被竊取。

　　360手機(jī)安全中心在鍵盤輸入安全性測試中發(fā)現(xiàn)，有兩款客戶端使用了系統(tǒng)默認(rèn)的輸入法，存在重大的安全隱患。雖然多數(shù)手機(jī)銀行客戶端使用了自繪鍵盤，但也並不是萬無一失的。若手機(jī)銀行客戶端被注入了惡意模組，或者系統(tǒng)模組被惡意代碼感染等極端惡劣的環(huán)境下，攻擊者可以通過Hook直接獲取到密碼。

　　另外報(bào)告顯示，測評的16款手機(jī)客戶端軟體中，除了一家銀行外，其他銀行的手機(jī)網(wǎng)銀客戶端軟體均存在盜版現(xiàn)象，個(gè)別客戶端甚至有20個(gè)以上的盜版版本。

　　總體而言，正版下載量越高的網(wǎng)銀APP，盜版版本數(shù)也相對較多。同時(shí)報(bào)告還表示，16款手機(jī)銀行客戶端採用的均是“賬號密碼+短信驗(yàn)證碼”的認(rèn)證體系，但該體系在面對具有短信劫持功能的手機(jī)木馬攻擊時(shí)將不堪一擊。

　　發(fā)展迅猛，普及率過半

　　隨著移動(dòng)通訊技術(shù)的快速發(fā)展，使得銀行業(yè)務(wù)逐步從傳統(tǒng)的櫃檯向更為便捷的網(wǎng)路化方向轉(zhuǎn)移，手機(jī)銀行作為移動(dòng)網(wǎng)路和商業(yè)銀行業(yè)務(wù)的結(jié)合體得到了極大的發(fā)展。

　　根據(jù)易觀智庫産業(yè)數(shù)據(jù)庫最新發(fā)佈的《中國手機(jī)銀行市場監(jiān)測數(shù)據(jù)報(bào)告2014年第2季度》數(shù)據(jù)測算顯示，2014年第2季度，手機(jī)銀行客戶交易金額達(dá)到5.99萬億元，環(huán)比增長達(dá)到8.1%。數(shù)據(jù)顯示，目前建行和工行手機(jī)銀行客戶總數(shù)已經(jīng)超過1億戶，交行、農(nóng)行、中行的客戶數(shù)也超過5000萬戶，股份制銀行中，招行、光大的客戶數(shù)均超過 1000萬戶。民生銀行也宣佈，繼去年12月5日超過500萬戶後，該行手機(jī)銀行客戶總規(guī)模在5月25日突破800萬戶。也就是説，僅上述大中型上市銀行合計(jì)的手機(jī)銀行客戶就已突破4億戶。

　　手機(jī)銀行之所以發(fā)展這麼迅速的關(guān)鍵還是廣大用戶提供了便利。它突破了傳統(tǒng)銀行時(shí)間、地點(diǎn)的限制，真正為客戶做到了隨時(shí)、隨地的辦業(yè)務(wù)，自從有了手機(jī)銀行，用戶不需要交通出行就可以在手機(jī)上操作完成，省下不少力氣。

　　目前，各家銀行都在為自己的手機(jī)銀行服務(wù)不斷升級，像“網(wǎng)點(diǎn)預(yù)約”、購買理財(cái)、交水電費(fèi)等都能“宅”在家裏輕鬆搞定。像廣發(fā)、交通等此類的商業(yè)銀行則推出了任意手機(jī)號轉(zhuǎn)賬及和二維碼取款等功能，進(jìn)一步為用戶提供方便。

　　防範(fàn)山寨手機(jī)應(yīng)用須多方合力

　　雖然近幾年來手機(jī)銀行市場得到了很大的發(fā)展，積累了上億的客戶群體，但由於發(fā)展時(shí)間較短、網(wǎng)路安全等方面的原因手機(jī)銀行業(yè)務(wù)仍然存在一些問題急需解決。

　　據(jù)相關(guān)人士表示，手機(jī)銀行的安全因素表現(xiàn)在多個(gè)方面，從SIM卡中的安全插件、標(biāo)準(zhǔn)安全設(shè)施到銀行的業(yè)務(wù)平臺(tái)與用戶手機(jī)SIM卡之間的加密機(jī)制，所有這些因素共同確保了手機(jī)銀行的安全性。銀行要保證APP的操作安全。譬如，聯(lián)通手機(jī)銀行基於CDMA無線網(wǎng)路傳輸，該網(wǎng)路最初産生並運(yùn)用於軍方，採用空中加密技術(shù)，安全性能很高；而手機(jī)銀行從手機(jī)端到銀行端實(shí)現(xiàn)了全程加密，同時(shí)還採用了數(shù)字簽名機(jī)制、手機(jī)與卡的綁定機(jī)制，這些加密演算法基本沒有被破譯的可能，保證了客戶交易和賬戶資金的安全。另外手機(jī)銀行數(shù)據(jù)傳輸和交易過程均採用了高強(qiáng)度加密協(xié)議。每次退出交行手機(jī)銀行後，系統(tǒng)會(huì)自動(dòng)清除手機(jī)記憶體中關(guān)於卡號、密碼等關(guān)鍵資訊；而別名設(shè)定、交易和卡號綁定等內(nèi)容也都只保存在銀行主機(jī)裏而不會(huì)存在手機(jī)裏，即使手機(jī)丟失也不影響用戶的賬戶安全。

　　此外，治理山寨銀行APP，相關(guān)部門應(yīng)該加強(qiáng)監(jiān)管，完善應(yīng)用行業(yè)認(rèn)證標(biāo)準(zhǔn)和相關(guān)法律規(guī)定，制定軟體應(yīng)用商店安全標(biāo)準(zhǔn)和手機(jī)應(yīng)用安全標(biāo)準(zhǔn)；其次，安全廠商也應(yīng)加強(qiáng)應(yīng)用的審核力度，不僅要注重用戶體驗(yàn)，還應(yīng)提高應(yīng)用的安全性；再次，手機(jī)用戶要養(yǎng)成良好的使用習(xí)慣，提升自我防範(fàn)意識(shí)，同時(shí)選擇具有安全認(rèn)證的正規(guī)的下載渠道，提升安全防範(fàn)能力，才能真正讓不法分子無漏洞可鑽。

　　手機(jī)銀行的發(fā)展不僅僅是銀行單方面的問題，還必須依託移動(dòng)運(yùn)營商和卡商，以及手機(jī)安全廠商的共同努力，牽扯的利益群體較為複雜，在協(xié)調(diào)和産業(yè)鏈形成方面還有待時(shí)日。