手机银行应用程序不安全保存数据

大家好，今日小科来聊聊一篇关于手机银行应用程序不安全保存数据的文章，现在让我们往下看看吧！

代表Arxan Technologies的研究人员强调了在来自欧洲和美国各种金融机构的30个安卓应用程序中发现的11个漏洞，并发现了180个关键漏洞。如果这些被攻击者利用，它们可能会导致可怕的后果，如身份盗窃和账户欺诈。

研究员Alissa Valentina Knight表示：“当一家公司未能为其应用程序实施适当的应用程序安全技术时，将使应用程序易于进行反向工程，这可能会导致账户接管、数据泄露和欺诈。

“因此，公司可能遭受重大财务损失，并损害品牌、客户忠诚度、股东信心和政府处罚。

“虽然本报告中的调查结果仅针对这些公司，但其中许多在所有测试的移动应用中都是系统的，而其他类型的公司应该以此为指南来保护其移动应用。”

检测到漏洞的银行应用程序的名称已经被编辑，可能是因为他们担心这些公司以后会成为恶意行为者的目标。

零售应用程序被发现具有最关键的漏洞，而美国健康储蓄账户(HSA)公司最不可用。此外，令研究人员惊讶的是，较小的公司拥有最安全的开发卫生，而较大的公司生产最脆弱的应用程序。

最常见的漏洞类型是缺乏二进制保护，97%的测试应用程序可以反编译和查看源代码。此外，所有测试的应用程序都不能实现应用程序安全来混淆源代码。

与此同时，90%的测试应用程序都遇到了意外的数据泄漏，而手机银行应用程序的数据无意中被用户设备上的其他应用程序所利用。例如，这可能导致通过他们在设备上控制的其他应用程序收集财务数据的攻击。

此外，80%的应用程序实现了弱加密算法或错误地实现了强密码。利用这一点，攻击者可以将敏感数据解密为其原始形式，并对其进行操作或出售。

然而，最令人担忧的发现是，83%的应用程序首先测试用户敏感数据的不安全存储。根据Knight的说法，财务数据存储在沙盒之外，存储在设备的本地文件系统中，存储在外部内存中，甚至复制到剪贴板中。

针对这些问题，她建议金融公司采用综合安全手段，采用应用屏蔽、加密、威胁分析等多种技术。

这篇好文章是转载于：知行礼动