现下，人们越来越多地关注安全问题。他们会使用两步验证、登录提示和第三方安全服务来保护他们的邮箱和社交媒体账号的安全。如果以上这些方法还不够安全，用户一般会希望从银行寻求类似的保护系统。毕竟，银行掌握了用户大多数的工资和储蓄。然而，很明显，我们对此都存在误解。手机安全公司Appvigil 报告，亚太地区安卓系统中100家手机银行里，70%都存在安全问题，容易出现数据泄露情况。如果你认为你不在该地区就可以保证网银安全，那只能说你放心太早了。事实上，进一步调查显示，其他地区也存在许多类似的网银安全危机。

该公司测试了印度29家银行的手机银行APP以及亚太地区另外71个相关APP，结果实在不容乐观。“这些手机银行APP大多数都没起到安全防卫作用，许多甚至都没有最基本的安全核查。该报告显示，APP与服务器之间的通讯未进行加密，仍在使用传统的HTTP格式，而不是新型的HTTPS。”

过去几年中，又出现了许多新的安全问题，欧洲和美国的大多数银行都采用了动态口令、一次性密码、向安卓手机发送交易确认短信之类的安全措施，但是Appvigil指出，许多网络罪犯也找到了新手段来绕开这些措施。我们之前也在新闻上多次看到过类似的手法。

该报告补充，“安卓应用中会出现许多不同的安全漏洞。目前，许多开发者都更多注重美观设计、性能优化，对安全问题不甚关注。大部分情况下，用户只有在受到恶意威胁代理、出现操作矛盾时才会去反映这些安全问题。”

此外，该报告指出，比如系统时间失准、同步计时这些漏洞，都是由于运营商和网路管理的疏忽。“如果一些程序出故障，比如交易运行和后台支持，交易时间无法同步一致，可能会出现时间差异。而不同的时间点会引起金融和数据项目的bug。”

该公司发现，在测试的100个手机银行APP中，总共有983个安全漏洞，其中包括电子诈骗、数据泄露、SQL资料隐码入侵、Javascript攻击、XML注入和未加密网络接口等。“我们报告中展示的分析结果还不止于此。很明显，根据调查报告，大多数APP的安全防卫能力都很弱，82%的APP存在高危漏洞。平均来说，每个APP中有14个安全漏洞。但令人惊讶的是，我们发现有5个手机银行APP中都存在50个安全漏洞。”

即使你不住在亚太地区，也未必幸免于此。Gizmodo对美国和其他地区所有主要银行现行的安全措施进行了综合评估，结果也是不如人意。我们联络了一个专业手机安全公司AVG，了解了他们对这个报告的看法。“现在市场中的确有许多银行的APP存在漏洞，但是我们也看到，这些银行很明显是把事后修补工作作为了重心，”AVG的技术总监Yuval Ben-Itzhak说。

“以其中一个安全漏洞为例，一款网银APP在手机上下载和缓存数据是在不同位置。有一些文件夹中的内容可以轻易被其他的APP获取，而且这些数据在网银APP使用后也没有清除。出于安全起见，卸载软件是需要清除这类数据的。另外一个例子中，APP使用了一种防卫能力很弱的WebView，而且是在安卓系统4.1以前的版本，这种情况十分危险，”他补充到。

JPM编译自

It Proportal, How Secure is Your online Banking App, by Manish Singh.