2014-《手机银行客户端安全性测评报告》

手机银行客户端安全性测评报告（2014 年第二期中国移动支付安全报告） 2014 年 7 月 16 日摘要  为了检验手机银行客户端的安全性，本次报告针对当前世面上最流行的 16 家银行的 16 款手机银行客户端应用进行了一次全面的安全性测评。  测试的主要内容包括：登录机制安全性、键盘输入安全性、Activity 组件安全性、进程注入防护、反盗版能力和认证因素安全性这 6 个主要方面的 8 项具体测试。  少数手机银行客户端存在加密机制不完整，不校验服务器身份等安全隐患。  虽然多数手机银行客户端使用了自绘键盘，但自绘随机键盘并未被广泛使用。而且还有 2 款客户端使用了系统默认的输入法，这是非常不安全的。  有 1 款客户端存在严重的 Activity 导出风险，2 款客户端存在 Activity 导出错误可至系统崩溃的问题，其他客户端暂未发现由 Activity 导出错误导致的安全风险。  在防范 Activity 劫持，防止进程注入，反盗版/防二次打包，以及防止验证短信被劫持等方面，所有 16 款被检测的手机银行客户端的表现均不佳。  受到安卓系统的体系限制，很多支付安全性问题是难以靠手机银行客户端软件单独解决的。因此，将手机银行客户端与具有支付安全保护能力的手机安全软件结合使用，是保护移动支付安全必要的，也是最佳的选择。关键词：手机银行、移动支付、加密、证书校验、输入法、Activity 组件安全、反盗版、短信劫持目录安全测评综述.................................................................................................................................... 1 第一章登录机制安全性测试 ........................................................................................................ 3 一、加密机制 ........................................................................................................................... 3 二、服务端证书校验 ................................................................................................................ 5 三、解决方案 ........................................................................................................................... 8 第二章键盘输入安全性测试 ...................................................................................................... 11 一、输入方式 ......................................................................................................................... 11 二、解决方案 ......................................................................................................................... 13 第三章 ACTIVITY 组件安全性测试........................................................................................... 15 一、 ACTIVITY 导出 ..................................................................................................................... 15 二、 ACTIVITY 劫持 ..................................................................................................................... 17 三、解决方案 ......................................................................................................................... 18 第四章进程注入防护测试 .......................................................................................................... 19 一、进程注入 ......................................................................................................................... 19 二、解决方案 ......................................................................................................................... 21 第五章反盗版能力测试 .............................................................................................................. 22 一、逆向分析 ......................................................................................................................... 22 二、二次打包 ......................................................................................................................... 22 三、解决方案 ......................................................................................................................... 23 第六章认证因素安全测试 .......................................................................................................... 25 一、双因素认证与伪双因素................................................................................................... 25 二、验证短信防护测试 .......................................................................................................... 25 三、解决方案 ......................................................................................................................... 26 附录 1 网银支付类恶意软件案例 .................................................................................................. 28 一、仿冒银行升级助手的木马 ............................................................................................... 28 二、手机钓鱼木马伪装支付宝应用 ....................................................................................... 36 附录 2 360 移动支付解决方案 ........................................................................................................ 40 附录 3 应用加固——“360 加固保”................................................................................................. 45 安全测评综述继银行卡支付，网上支付（PC 端）之后，中国消费者已经快速进入了移动支付时代。据 CNNIC 发布的《第 33 次中国互联网络发展状况统计报告》数据显示：截至 2013 年 12 月，我国手机网民规模达 5 亿，较 2012 年底增加 8009 万人；手机支付用户规模达到 1.25 亿，同比增长了 126.9%，占手机网民总量的 25.1%。可见，手机支付用户的增长速度远远高于手机网民规模的增长速度。移动支付的时代已经到来，移动支