安全漏洞太坑爹 iOS平台银行App存隐患

苹果iOS设备的用户需要提高警惕了！iOS平台的银行App几乎都存在安全隐患，据国外研究机构IOActive Labs的研究人员阿里尔·桑切斯称，在他测试的40款移动银行App中，几乎都未实施基本的安全保护措施，尽管在通知了这些易受攻击的漏洞之后，情况依然未变。值得一提的是，这些银行乃全球最具影响力的40家银行。

桑切斯对40款iOS移动银行App的安全性进行了近40小时的测试，所有的这些应用都允许安装在一款已经越狱的iOS设备上。因此他提出了针对安全隐患的第一个建议：iOS设备应进行防越狱保护。

银行App被允许安装在已越狱的iOS设备上 存安全隐患

此外，桑切斯还对这些iOS平台的银行App进行了包括运输安全性、编译器保护、UIWebViews、不安全数据存储、记录以及二进制分析在内的多项安全测试。其中，“是否会有敏感信息被发送至未经加密的数据中”、“会话是否安全”、“SSL证书是否经恰当处理”等问题均被一一验证。

结果显示，有40%的经审核App都未验证SSL证书的可靠性，这样的后果是，这些App会十分容易遭受MiTM攻击。另外，有90%的应用包括数个覆盖整个应用的非SSL连接，黑客极有可能据此伪造登录信息，从而进行诈骗。

对iOS平台银行App进行的安全检查

如果你认为上述问题就已十分可怕了，那么编辑告诉你，更可怕的还在后面。桑切斯在iOS平台银行App的代码中发现了“硬核凭据”。即让能黑客接入这些银行开发基础架构的机会的恭喜，后果是，黑客会利用恶意软件干扰相关软件，并导致所有应用的用户出现大规模的感染情形。

还有70%的被测App没有替代的验证解决方案来帮助用户“缓和模拟攻击的风险”。

虽然这只是针对iOS平台银行App进行的测试，但并不代表Android平台可以幸免。相对更开放的Android平台，安全隐患会不会更多呢？这点还有待专人评测。

小伙伴们，使用移动银行App客户端，需谨慎！