360报告:银行APP用系统键盘输入易被木马记录
2014-07-21行业报告 编辑:秩名
很多人都记得,在U盾出现之前,我们用电脑网银汇款时,为了防止木马记录键盘按键盗取密码,银行都会提示是使用动态键盘,用鼠标点击输入密码。而在手机支付领域,这一问题仍然存在。据360互联网安全中心刚刚发布的《2014年第二期中国移动支付安全报告》显示,当前安卓平台16款主流银行客户端软件中,有2款使用了系统默认输入法,由于系统默认输入法的数字排序和按钮位置均固定,所以很容易被木马记录,导致用户网银账号密码被盗。
图:某银行手机支付客户端 自绘随机键盘
据了解,在使用手机银行客户端的过程中经常会输入支付密码、账户信息等关键信息。而一些木马也盯上了手机银行客户端,记录键盘输入是很多盗号木马的基本功能。而为了避免遭到木马记录,目前绝大多数手机银行客户端都使用“自绘固定键盘”和“自绘随机键盘”,但仍有还在使用“系统默认键盘”的情况。
其中系统默认输入法的安全性最低,自绘固定键盘居中,自绘随机键盘安全系数最高。360报告中指出,此次测试的16款移动支付软件中多数银行使用的是自绘固定键盘,安全指数最高的自绘随机键盘还并得到被广泛应用,仅7款客户端使用了自绘随机键盘,更有2款软件选择了最易受到攻击的系统默认输入法。
360手机安全专家表示,系统默认输入与系统和银行客户端没有直接联系,因此,对于使用系统默认输入法的银行客户端软件来说,当用户在银行客户端中输入账户和密码时,输入的内容将直接传给银行客户端。因此一旦默认输入法感染恶意代码或被能记录键盘数据的恶意程序监控,用户输入的账号密码信息将轻易被黑客掌控。自绘固定键盘可以避免被第三方输入法监听的风险,但对键盘记录的防御能力依然有限。
专家介绍称,自绘随机键盘的安全性要在之前两者之上,在输入账号密码时会生成随机键盘,使每次输入时点击的位置都不尽相同。如此一来,就算黑客能够监控到键盘记录,但也会因随机键盘的缘故难以猜测出用户输入的内容,其安全性自然也大大提升。
可见,手机客户端整体的安全系数并不如想象中的高,键盘监听类恶意程序对用户的财产安全的威胁依旧不小。因此,360手机安全专家提醒用户,要通过正规的手机应用市场下载手机银行支付软件,同时也要慎重选择安全系数较高的手机银行客户端。360手机卫士也可帮助用户检测、查杀手机中的木马病毒,避免财产损失的情况发生。
《2014年第二期中国移动支付安全报告》报告全文: