爱内测
首页> 最新资讯 > 【热门资讯】iOS平台银行应用,2013年至2015年安全性对比

【热门资讯】iOS平台银行应用,2013年至2015年安全性对比

发布时间:2015-12-23

近几年来,随着移动互联网的快速发展,手机银行也成了手机上必不可少的应用,那么其安全性如何呢?在2013年,IOActive公司的安全顾问Ariel Sanchez就曾经对iOS平台上的银行做了一次测试,如今,两年过去,他打算再进行一次测试。

Ariel Sanchez评估了40项手机银行应用的安全等级,发现了许多安全隐患。通过第二次的测试,Sanchez发现,一些2年前就存在的问题现在仍然没有解决,虽然整体安全性有了提高。他在每个应用程序上都执行了如下测试:

1、传输安全

2、编译器保护

3、UIWebView

4、不安全的数据存储

5、日志记录

6、二进制分析

在所有测试的APP之中,12.5%没有验证所用SSL证书的真实性,这使它们很容易受到中间人(MITM)攻击。35%的APP在整个程序中包含非SSL的链接,这使得攻击者能够拦截流量;并且,在攻击者试图创建一个伪造的登录提示窗或类似的诈骗活动中,他们能够注入任意JavaScript或HTML代码。

30%的应用程序没有验证传入的数据,这使得攻击者通过不安全的UIWebView实现就能进行JavaScript注入,从而发起客户端攻击。42.5%的应用程序提供了替代的身份验证方案,以此来减小泄漏用户凭证和个人攻击的风险。

Sanchez说“35%的应用程序不包含SSL链接,这就使得黑客可以截获信息,植入JavaScript代码,创造出一个虚假的登录链接或类似骗局。”

他还通过分析二进制和文件系统,发现15%的银行程序不能加密文件和敏感信息。在一些情况下,客户的银行账户和访问记录会存储在sqlite数据库中,或者以纯文本形式储存,

下边两张表对比了2013年和2015年的测试结果:

大多数应用程序在传输保护以及验证SSL证书方面有了提升,大大减少了受到中间人攻击的可能性。但需要指出的是,仍有许多应用程序的文件系统中存有不安全的数据。

根据Sandez的测试可以得出,尽管银行程序的安全性已经有了提高,但仍有不足,许多软件还存在着漏洞

Sandez补充道“虽然所有软件的安全性在两年间都有了提升,但这还远远不够,许多程序仍旧有漏洞。”


加入收藏
安卓加密 安卓源码 DevStore 安全脉搏 云服务器 Milw0rm'Team 美团云 够用云 云智慧 Teambition 推酷网 计蒜客 AnySDK SegmentFault 洋葱 Udesk 云之讯