移动银行应用程序为您的手机带来了一些最方便的在线银行功能,但是它们会带来安全风险吗?银行往往具有相当可靠的数据安全性,但它们过去曾遭受过一些破坏,其移动应用程序的安全性如何?不幸的是,答案并不令人鼓舞...
双重身份验证
使用双重身份验证也已开始使用它,从而提高了整体安全性。
Unfortunately, many mobile banking apps don’t support 2FA at this time. Which means that if someone manages to get a hold of your phone and can figure out your banking password, they’ll have access to your account. (If you don’t have two-factor enabled on your web-accessed account, they’ll have access to that too, but you do have 2FA enabled, right?) If your banking app does support 2FA, you should enable it as soon as possible.
另一方面,如果它不提供2FA,则您可能要考虑从手机中删除该应用程序。另外,请确保没有其他密码或身份证明的情况下,电话窃贼不可能从您的电话获得身份验证(如果银行只是向您发送验证码,那么如果别人拥有您的电话,这对您没有任何好处)。
密码保护不良
许多移动银行应用程序的另一个弱点是它们允许您保存密码。这非常适合快速打开应用程序,但这也意味着拥有您手机的任何人都可以访问您的帐户。希望您没有保存密码,但是如果您这样做,则应该立即禁用此功能。
当然,还要为您的应用选择一个好的密码。如果您的密码是“ 123456"或“ password",则该应用程序不保存它就没有关系。反正有人会猜出来的。现在,许多银行都要求您使用一定数量的大写字母,数字,符号或特殊字符,这使您更有可能至少选择一个像样的强密码,但是其中许多没有这些要求,因此您必须依靠自己的密码选择。
SSL证书验证
要了解此问题,您需要了解网站如何证明它们是合法的。简而言之,经过验证的证书可以证明网站就是它声称的网站。通过加密连接访问站点时,站点会将证书发送到您的浏览器,然后您的浏览器会根据列表检查该证书。如果其中包含正确的信息,则您的浏览器知道会信任该网站。 (为更好地了解此过程,请参阅``什么是网站安全证书以及您为什么要关心?'')
2014年,研究人员发现许多移动银行应用未验证通过其发送给他们的SSL证书加密连接(此漏洞在2016年再次在英国的许多移动银行实例中发现)。这意味着攻击者可以通过发送自制的SSL证书来冒充您的银行,并且该应用不会检查该证书是否有效。
当然,这是要找出您的移动银行应用是否具有这个缺陷将是非常困难的。我查看了我自己的银行的FAQ,其对安全功能的解释并不能回答这个问题:
我们使用128位安全套接字层(SSL)技术来加密您的个人信息,例如作为用户ID,密码和帐户信息。
获取比这更多的信息可能非常困难。您可以尝试查找针对特定应用程序进行的研究或测试,以查看是否验证了SSL证书或与您的银行联系以进行查找。或者,如果您担心此特定漏洞,可以停止使用移动应用。
越狱安装
另一项研究发现,许多银行应用可以安装在越狱或带有root权限的设备可能会带来安全风险,因为越狱或生根了您的手机会删除一些安全功能,这些功能会阻止应用程序在不应该传递信息的情况下来回传递信息。例如,这可能导致键盘记录器或其他应用劫持连接。
越狱手机有好处也有坏处,但是如果您打算使用移动银行应用,则可能需要考虑一下
潜在未知风险
与其他任何应用程序一样,我们尚不知道的移动银行应用程序中可能存在漏洞。银行在保护其移动应用程序方面并没有赢得很好的声誉,将来很有可能会(或已经)有人在其中发现更多漏洞。
总而言之,除非您绝对需要使用移动银行应用程序,不建议这样做。它们可以很方便,尤其是如果您使用该应用定期进行转帐,而且您不太可能成为攻击的受害者时……但是风险却很高。让其他人访问您的银行帐户可能是绝对的财务噩梦。
增加的便利是否值得冒险?最终取决于您,但重要的是要意识到您可能面临的潜在问题。
您是否使用移动银行应用程序?在发现可能存在安全风险之后,您将继续使用它们吗?还是您发现方便值得潜在的问题?在下面的评论中分享您的想法!
