Praetorian的安全專家本月測試了275個(gè)蘋果iOS和Android手機(jī)銀行應(yīng)用程序，這些應(yīng)用程序來自50家個(gè)主要金融機(jī)構(gòu)、50家大型區(qū)域性銀行和50家大型美國信用合作社。結(jié)果發(fā)現(xiàn)，80%的應(yīng)用程序配置不當(dāng)，沒有使用最佳軟件做法來構(gòu)建。這些被測試的知名銀行包括：美國銀行、花旗銀行、富國銀行、高盛、摩根士丹利、第一資本金融以及太陽信托銀行。Praetorian并沒有透露每個(gè)銀行的應(yīng)用程序在測試中的表現(xiàn)。

目前，手機(jī)銀行已經(jīng)開始騰飛，盡管速度比較緩慢。約35%的美國人在使用手機(jī)銀行，這比2012年增加了11%。NSS實(shí)驗(yàn)室的最新報(bào)告中，一些銀行報(bào)告顯示手機(jī)銀行每年增加70%。

Praetorian公司創(chuàng)始人兼首席執(zhí)行官Nathan Sportsman表示，手機(jī)銀行應(yīng)用程序中的安全漏洞并不是純粹的軟件漏洞，所以它們是風(fēng)險(xiǎn)相對較低的問題，但這些問題最終可能導(dǎo)致受攻擊。

Sportsman 表示：“這些都不是業(yè)務(wù)邏輯性或針對應(yīng)用程序的問題，而是整個(gè)移動(dòng)應(yīng)用程序的問題，這些是開發(fā)人員應(yīng)該解決而沒有解決的問題，這些應(yīng)用程序可以通過蘋果和谷歌的應(yīng)用商店下載。”

研究人員測試的漏洞是軟件中知名的緩解功能，測試是在每個(gè)本地設(shè)備的移動(dòng)應(yīng)用程序上執(zhí)行，而不是在后端web服務(wù)器和服務(wù)。Sportsman表示，這個(gè)測試只是整個(gè)手機(jī)銀行攻擊情況的一個(gè)剪影，因?yàn)?5%到90%的手機(jī)銀行發(fā)生在后端。

他表示：“這不是侵入性測試，我們沒有尋找SQL注入，需要權(quán)限來做到這一點(diǎn)，所以我們非常向看看這些移動(dòng)應(yīng)用程序的配置。”他希望下次測試信息是如何存儲(chǔ)在本地設(shè)備上的。

Praetorian使用其新的移動(dòng)應(yīng)用安全測試平臺(tái)Project Neptune執(zhí)行了這次測試。在第一次測試中發(fā)現(xiàn)：很多基于iOS的手機(jī)銀行應(yīng)用程序沒有啟用自動(dòng)引用計(jì)數(shù)(ARC)--內(nèi)存管理功能;位置無關(guān)可執(zhí)行文件—防止緩沖區(qū)溢出;以及堆棧保護(hù)功能—保護(hù)應(yīng)用程序不會(huì)出現(xiàn)“堆棧破碎”。

Sportsman稱：“堆棧破碎和ASLR(地址空間布局隨機(jī)化)已經(jīng)存在很長一段時(shí)間，這些應(yīng)用程序中應(yīng)該啟用這種保護(hù)。”

很多基于Android的手機(jī)銀行應(yīng)用程序被發(fā)現(xiàn)是針對老版本的Android軟件開發(fā)工具包，缺乏權(quán)限硬化，并啟用了調(diào)試功能。對于開發(fā)者而言，老版本SDK靶向和調(diào)試功能將是最大的擔(dān)憂問題。

不奇怪的是，大型金融機(jī)構(gòu)比信用社或區(qū)域性銀行表現(xiàn)更好，但區(qū)別也不明顯：信用社應(yīng)用程序有108個(gè)配置漏洞;區(qū)域性銀行為97個(gè)，而大型金融機(jī)構(gòu)為75。

為什么這些應(yīng)用程序存在配置問題?總體而言，在金融服務(wù)行業(yè)，手機(jī)銀行面臨著“急于進(jìn)入市場”的壓力，這可能導(dǎo)致出現(xiàn)一些漏洞。并且，地區(qū)銀行和信用社往往會(huì)外包這種應(yīng)用開發(fā)工作。

與此同時(shí)，NSS實(shí)驗(yàn)室的Ken Baylor指出，很多手機(jī)銀行應(yīng)用程序大多數(shù)具有基本的安全性。“大多數(shù)銀行開始提供簡單重定向到移動(dòng)網(wǎng)站(功能有限)的移動(dòng)服務(wù)，通過檢測智能手機(jī)HTTP表頭。其他銀行則創(chuàng)建了具有更好HTML包裝器的移動(dòng)應(yīng)用程序，提供更好的用戶體驗(yàn)和更多功能。到目前為止，只有少數(shù)銀行為每個(gè)平臺(tái)構(gòu)建了安全的本機(jī)應(yīng)用程序。”

很多移動(dòng)手機(jī)應(yīng)用程序是基于簡化的HTML代碼，這使它們?nèi)菀资艿焦簦@應(yīng)該促使更多銀行為手機(jī)開發(fā)本機(jī)應(yīng)用程序，增加安全功能，例如加密和地理定位。