查看原文
其他

全球排名前100家银行中 超过一半的手机银行APP安全测试不合格

2017-03-03 E安全 E安全

E安全3月3日讯 欧洲移动安全公司的新研究指出,全球最大的100家银行中,其中50家银行的手机银行应用程序易遭受黑客攻击,黑客可以从中获取密码或监控用户。

这家公司是位于巴黎的Pradeo安全系统(Pradeo Security Systems)公司,其首席运营官Caroline Borriello表示,“我们最初不打算公布测试结果。我们之所以选择公开,是因为我们认为,人们了解手机银行应用程序的安全十分重要。”尽管如此,该公司未披露易受攻击应用程序的名称或他们测试的银行。

她表示,“我们不想点名道姓,尤其考虑到测试结果为100%的失败率。这些应用程序均易遭受网络攻击。”

Borriello表示,公司也不会讨论渗透测试实验的确切性质。该公司于去年11月15日至今年1月31日在公司实验室进行了这项渗透测试。

她指出,“至于披露,我们非常谨慎。我们不想让恶意攻击者轻易干不法勾当。我们在这些应用程序上发现的漏洞能被用来窃取密码或监视用户,所以我们必须谨慎。”

Borriello表示,由渗透测试人员组成的红队使用了22个黑客技术,有时会结合多个复杂程度不同的技术。这个过程全是人为,并非自动。

该公司表示,某些应用程序很容易受到相对简单的攻击,某些则需要更复杂的攻击。但无论如何,该公司在每个测试的应用程序上发现了可被利用的漏洞。她表示,这些技术通常是常见的移动威胁,懂的人很容易访问这些应用程序。

Borriello补充道,“重要的是,我们并未入侵这些应用程序。”研究人员只确认了这些应用程序易于遭受攻击的事实。

为了了解公司的销售前景(销售应用程序安全技术和服务),Pradeo刚开始只是测试了一家银行的移动应用程序,这就是测试的初衷。

破解后发现并不太麻烦,因此,他们决定测试其它一些应用。当Pradeo认识到测试结果太过糟糕时,他们便决定将测试范围扩大到全球100家银行中的其中50家,并公布结果。

Borriello还指出,看到100%的失败率,安全专家(一直在处理这类问题)都无比惊讶。这是该公司首次发布漏洞测试结果。Pradeo成立于2012年,由法国国防部(French Ministry of Defense)的信息安全专家Clément Saad创立。

她表示,选择的银行在地理位置上具有一定的代表性,当然还有其他因素,例如规模。

“我们正在联系这些银行,并已经取得一些联系。银行不该受谴责。”

她在谈到这些应用程序的安全性时表示,移动变革如此具有破坏性,再加上发展如此迅速,不能怪银行。

她提到,当谈及计算机时,用户具有她所谓的“安全反射”。但是,用户对智能手机缺乏同样的本能。

她表示,哪怕是技术小白也不会购买一台电脑,进行联网,而不安装安全软件。这就是“安全反射…但是,人们在智能手机上却一直如此。在移动环境中,我们尚不具有这种反射。”

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存