Praetorian的安全專(zhuān)家本月測(cè)試了275個(gè)蘋(píng)果iOS和Android手機(jī)銀行應(yīng)用程序，這些應(yīng)用程序來(lái)自50家個(gè)主要金融機(jī)構(gòu)、50家大型區(qū)域性銀行和50家大型美國(guó)信用合作社。結(jié)果發(fā)現(xiàn)，80%的應(yīng)用程序配置不當(dāng)，沒(méi)有使用最佳軟件做法來(lái)構(gòu)建。這些被測(cè)試的知名銀行包括：美國(guó)銀行、花旗銀行、富國(guó)銀行、高盛、摩根士丹利、第一資本金融以及太陽(yáng)信托銀行。Praetorian并沒(méi)有透露每個(gè)銀行的應(yīng)用程序在測(cè)試中的表現(xiàn)。

目前，手機(jī)銀行已經(jīng)開(kāi)始騰飛，盡管速度比較緩慢。約35%的美國(guó)人在使用手機(jī)銀行，這比2012年增加了11%。NSS實(shí)驗(yàn)室的最新報(bào)告中，一些銀行報(bào)告顯示手機(jī)銀行每年增加70%。

Praetorian公司創(chuàng)始人兼首席執(zhí)行官Nathan Sportsman表示，手機(jī)銀行應(yīng)用程序中的安全漏洞并不是純粹的軟件漏洞，所以它們是風(fēng)險(xiǎn)相對(duì)較低的問(wèn)題，但這些問(wèn)題最終可能導(dǎo)致受攻擊。

Sportsman 表示：“這些都不是業(yè)務(wù)邏輯性或針對(duì)應(yīng)用程序的問(wèn)題，而是整個(gè)移動(dòng)應(yīng)用程序的問(wèn)題，這些是開(kāi)發(fā)人員應(yīng)該解決而沒(méi)有解決的問(wèn)題，這些應(yīng)用程序可以通過(guò)蘋(píng)果和谷歌的應(yīng)用商店下載。”

研究人員測(cè)試的漏洞是軟件中知名的緩解功能，測(cè)試是在每個(gè)本地設(shè)備的移動(dòng)應(yīng)用程序上執(zhí)行，而不是在后端web服務(wù)器和服務(wù)。Sportsman表示，這個(gè)測(cè)試只是整個(gè)手機(jī)銀行攻擊情況的一個(gè)剪影，因?yàn)?5%到90%的手機(jī)銀行發(fā)生在后端。

他表示：“這不是侵入性測(cè)試，我們沒(méi)有尋找SQL注入，需要權(quán)限來(lái)做到這一點(diǎn)，所以我們非常向看看這些移動(dòng)應(yīng)用程序的配置。”他希望下次測(cè)試信息是如何存儲(chǔ)在本地設(shè)備上的。

Praetorian使用其新的移動(dòng)應(yīng)用安全測(cè)試平臺(tái)Project Neptune執(zhí)行了這次測(cè)試。在第一次測(cè)試中發(fā)現(xiàn)：很多基于iOS的手機(jī)銀行應(yīng)用程序沒(méi)有啟用自動(dòng)引用計(jì)數(shù)(ARC)--內(nèi)存管理功能;位置無(wú)關(guān)可執(zhí)行文件—防止緩沖區(qū)溢出;以及堆棧保護(hù)功能—保護(hù)應(yīng)用程序不會(huì)出現(xiàn)“堆棧破碎”。

Sportsman稱(chēng)：“堆棧破碎和ASLR(地址空間布局隨機(jī)化)已經(jīng)存在很長(zhǎng)一段時(shí)間，這些應(yīng)用程序中應(yīng)該啟用這種保護(hù)。”

很多基于Android的手機(jī)銀行應(yīng)用程序被發(fā)現(xiàn)是針對(duì)老版本的Android軟件開(kāi)發(fā)工具包，缺乏權(quán)限硬化，并啟用了調(diào)試功能。對(duì)于開(kāi)發(fā)者而言，老版本SDK靶向和調(diào)試功能將是最大的擔(dān)憂(yōu)問(wèn)題。

不奇怪的是，大型金融機(jī)構(gòu)比信用社或區(qū)域性銀行表現(xiàn)更好，但區(qū)別也不明顯：信用社應(yīng)用程序有108個(gè)配置漏洞;區(qū)域性銀行為97個(gè)，而大型金融機(jī)構(gòu)為75。

為什么這些應(yīng)用程序存在配置問(wèn)題?總體而言，在金融服務(wù)行業(yè)，手機(jī)銀行面臨著“急于進(jìn)入市場(chǎng)”的壓力，這可能導(dǎo)致出現(xiàn)一些漏洞。并且，地區(qū)銀行和信用社往往會(huì)外包這種應(yīng)用開(kāi)發(fā)工作。

與此同時(shí)，NSS實(shí)驗(yàn)室的Ken Baylor指出，很多手機(jī)銀行應(yīng)用程序大多數(shù)具有基本的安全性。“大多數(shù)銀行開(kāi)始提供簡(jiǎn)單重定向到移動(dòng)網(wǎng)站(功能有限)的移動(dòng)服務(wù)，通過(guò)檢測(cè)智能手機(jī)HTTP表頭。其他銀行則創(chuàng)建了具有更好HTML包裝器的移動(dòng)應(yīng)用程序，提供更好的用戶(hù)體驗(yàn)和更多功能。到目前為止，只有少數(shù)銀行為每個(gè)平臺(tái)構(gòu)建了安全的本機(jī)應(yīng)用程序。”

很多移動(dòng)手機(jī)應(yīng)用程序是基于簡(jiǎn)化的HTML代碼，這使它們?nèi)菀资艿焦?，這應(yīng)該促使更多銀行為手機(jī)開(kāi)發(fā)本機(jī)應(yīng)用程序，增加安全功能，例如加密和地理定位。