Praetorian的安全專家本月測試了275個蘋果iOS和Android手機銀行應(yīng)用程序，這些應(yīng)用程序來自50家個主要金融機構(gòu)、50家大型區(qū)域性銀行和50家大型美國信用合作社。結(jié)果發(fā)現(xiàn)，80%的應(yīng)用程序配置不當(dāng)，沒有使用最佳軟件做法來構(gòu)建。這些被測試的知名銀行包括：美國銀行、花旗銀行、富國銀行、高盛、摩根士丹利、第一資本金融以及太陽信托銀行。Praetorian并沒有透露每個銀行的應(yīng)用程序在測試中的表現(xiàn)。

目前，手機銀行已經(jīng)開始騰飛，盡管速度比較緩慢。約35%的美國人在使用手機銀行，這比2012年增加了11%。NSS實驗室的最新報告中，一些銀行報告顯示手機銀行每年增加70%。

Praetorian公司創(chuàng)始人兼首席執(zhí)行官Nathan Sportsman表示，手機銀行應(yīng)用程序中的安全漏洞并不是純粹的軟件漏洞，所以它們是風(fēng)險相對較低的問題，但這些問題最終可能導(dǎo)致受攻擊。

Sportsman 表示：“這些都不是業(yè)務(wù)邏輯性或針對應(yīng)用程序的問題，而是整個移動應(yīng)用程序的問題，這些是開發(fā)人員應(yīng)該解決而沒有解決的問題，這些應(yīng)用程序可以通過蘋果和谷歌的應(yīng)用商店下載。”

研究人員測試的漏洞是軟件中知名的緩解功能，測試是在每個本地設(shè)備的移動應(yīng)用程序上執(zhí)行，而不是在后端web服務(wù)器和服務(wù)。Sportsman表示，這個測試只是整個手機銀行攻擊情況的一個剪影，因為75%到90%的手機銀行發(fā)生在后端。

他表示：“這不是侵入性測試，我們沒有尋找SQL注入，需要權(quán)限來做到這一點，所以我們非常向看看這些移動應(yīng)用程序的配置。”他希望下次測試信息是如何存儲在本地設(shè)備上的。

Praetorian使用其新的移動應(yīng)用安全測試平臺Project Neptune執(zhí)行了這次測試。在第一次測試中發(fā)現(xiàn)：很多基于iOS的手機銀行應(yīng)用程序沒有啟用自動引用計數(shù)(ARC)--內(nèi)存管理功能;位置無關(guān)可執(zhí)行文件—防止緩沖區(qū)溢出;以及堆棧保護功能—保護應(yīng)用程序不會出現(xiàn)“堆棧破碎”。

Sportsman稱：“堆棧破碎和ASLR(地址空間布局隨機化)已經(jīng)存在很長一段時間，這些應(yīng)用程序中應(yīng)該啟用這種保護。”

很多基于Android的手機銀行應(yīng)用程序被發(fā)現(xiàn)是針對老版本的Android軟件開發(fā)工具包，缺乏權(quán)限硬化，并啟用了調(diào)試功能。對于開發(fā)者而言，老版本SDK靶向和調(diào)試功能將是最大的擔(dān)憂問題。

不奇怪的是，大型金融機構(gòu)比信用社或區(qū)域性銀行表現(xiàn)更好，但區(qū)別也不明顯：信用社應(yīng)用程序有108個配置漏洞;區(qū)域性銀行為97個，而大型金融機構(gòu)為75。

為什么這些應(yīng)用程序存在配置問題?總體而言，在金融服務(wù)行業(yè)，手機銀行面臨著“急于進入市場”的壓力，這可能導(dǎo)致出現(xiàn)一些漏洞。并且，地區(qū)銀行和信用社往往會外包這種應(yīng)用開發(fā)工作。

與此同時，NSS實驗室的Ken Baylor指出，很多手機銀行應(yīng)用程序大多數(shù)具有基本的安全性。“大多數(shù)銀行開始提供簡單重定向到移動網(wǎng)站(功能有限)的移動服務(wù)，通過檢測智能手機HTTP表頭。其他銀行則創(chuàng)建了具有更好HTML包裝器的移動應(yīng)用程序，提供更好的用戶體驗和更多功能。到目前為止，只有少數(shù)銀行為每個平臺構(gòu)建了安全的本機應(yīng)用程序。”

很多移動手機應(yīng)用程序是基于簡化的HTML代碼，這使它們?nèi)菀资艿焦?，這應(yīng)該促使更多銀行為手機開發(fā)本機應(yīng)用程序，增加安全功能，例如加密和地理定位。