全球排名前100家银行,超50%的手机银行APP安全测试不合格
发布日期:2017-03-06欧洲移动安全公司的新研究指出,全球最大的100家银行中,其中50家银行的手机银行应用程序易遭受黑客攻击,黑客可以从中获取密码或监控用户。
这家公司是位于巴黎的Pradeo安全系统(Pradeo Security Systems)公司,其首席运营官Caroline Borriello表示,“我们最初不打算公布测试结果。我们之所以选择公开,是因为我们认为,人们了解手机银行应用程序的安全十分重要。”尽管如此,该公司未披露易受攻击应用程序的名称或他们测试的银行。
她表示,“我们不想点名道姓,尤其考虑到测试结果为100%的失败率。这些应用程序均易遭受网络攻击。”
Borriello表示,公司也不会讨论渗透测试实验的确切性质。该公司于去年11月15日至今年1月31日在公司实验室进行了这项渗透测试。
她指出,“至于披露,我们非常谨慎。我们不想让恶意攻击者轻易干不法勾当。我们在这些应用程序上发现的漏洞能被用来窃取密码或监视用户,所以我们必须谨慎。”
Borriello表示,由渗透测试人员组成的红队使用了22个黑客技术,有时会结合多个复杂程度不同的技术。这个过程全是人为,并非自动。
该公司表示,某些应用程序很容易受到相对简单的攻击,某些则需要更复杂的攻击。但无论如何,该公司在每个测试的应用程序上发现了可被利用的漏洞。她表示,这些技术通常是常见的移动威胁,懂的人很容易访问这些应用程序。
Borriello补充道,“重要的是,我们并未入侵这些应用程序。”研究人员只确认了这些应用程序易于遭受攻击的事实。
为了了解公司的销售前景(销售应用程序安全技术和服务),Pradeo刚开始只是测试了一家银行的移动应用程序,这就是测试的初衷。
破解后发现并不太麻烦,因此,他们决定测试其它一些应用。当Pradeo认识到测试结果太过糟糕时,他们便决定将测试范围扩大到全球100家银行中的其中50家,并公布结果。
Borriello还指出,看到100%的失败率,安全专家(一直在处理这类问题)都无比惊讶。这是该公司首次发布漏洞测试结果。Pradeo成立于2012年,由法国国防部(French Ministry of Defense)的信息安全专家Clément Saad创立。
她表示,选择的银行在地理位置上具有一定的代表性,当然还有其他因素,例如规模。
“我们正在联系这些银行,并已经取得一些联系。银行不该受谴责。”她在谈到这些应用程序的安全性时表示,移动变革如此具有破坏性,再加上发展如此迅速,不能怪银行。
她提到,当谈及计算机时,用户具有她所谓的“安全反射”。但是,用户对智能手机缺乏同样的本能。
她表示,哪怕是技术小白也不会购买一台电脑,进行联网,而不安装安全软件。这就是“安全反射…但是,人们在智能手机上却一直如此。在移动环境中,我们尚不具有这种反射。”
相关资讯:
很多ATM被盗事件都涉及到一个出现很久的名为“ATM Skimming”的科技手段,犯罪份子通过磁条、或使用ATM恶意软件、或数据泄漏等方式获得信用卡或银行卡的详细信息,然后...
2006 年 3 月 30 日, IDG 新闻,德国零售银行巨头 -Postbank AG 开始使用电子邮件数字签名技术来抑制日益猖獗的通过钓鱼邮件来窃取在线个人银行信息的钓鱼攻击。
2016年“匿名者”所发动的针对银行及金融机构的OpIcarus行动已经造成巨额损失,并导致多家国际性银行发生机密数据外泄,最近曝光的卡塔尔国家银行数据泄露与孟加拉央行8100...
根据波兰媒体报道,上周多家波兰银行着手调查黑客入侵活动,而这批黑客在过去三个月中已经入侵了波兰多家金融机构。
黑客Onur Kopçak仿冒银行网站进行网络欺诈,骗取用户银行账户信息,使用这些盗取来的用户资料,在世界各地的ATM取款机上盗取了总计约3.6亿现金。