阅读提示|如今，手机已经成为大家的“第二钱包”，手机APP移动金融早已深入每个人的生活，也改变着老百姓的生活方式。

　　目前，我国手机网民已达5.27亿，这个庞大人群消费迈入移动支付时代，近日360互联网安全中心发布了《2014年第二期中国移动支付安全报告》，最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评，指出国产多个手机银行客户端有多处可被黑客利用的安全隐患，希望网友们在网银支付时多加防范，并表示已将漏洞移交给银行。

　　而相关专家提醒用户们，如果你是手机APP“粉丝”，那可得日常养成良好的使用习惯来加以防范，这样才有可能避开那些看似“不经意”程序的“骚扰”。

　　对安全漏洞一定要有防范意识

　　手机银行客户端作为网上支付的重要工具，其自身的安全性是网民账户、资金安全的基础。

　　日前，360互联网安全中心最新发布的《2014年第二期中国移动支付安全报告》，针对当前市面上最流行的十余家银行的手机银行客户端应用进行了一次全面的安全性测评，发现其中有7项漏洞易被黑客利用，依次为：假冒银行服务端，实施“中间人”攻击；后台记录键盘位置，窃取密码；恶意导出用户界面，网银账户信息“裸奔”；仿冒登录界面，钓走账号密码；利用安卓系统漏洞，渗透网银客户端；二次打包制造盗版，主流客户端难防御；短信劫持获取验证码。

　　报告指出，手机输入法是黑客盯牢的目标，手机客户端上的账号密码等信息都是通过键盘输入，如手机键盘的输入过程被木马病毒或黑客监听，必将造成用户信息的泄漏。一般来说，主流手机银行客户端都在使用客户端自带输入法，不过报告指出有2款客户端使用系统默认输入法，也就是说，一旦默认的输入法程序感染了恶意代码，或是输入法程序被具有记录键盘数据能力的恶意程序监控，则会导致用户输入的账户或密码信息被恶意程序盗取。

　　也就是说，输入法、短信均可被黑客劫持。

　　“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系，在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。”相关安全专家称，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。一旦被可短信劫持的木马感染，这种双重保险依旧存在安全隐患。

　　此外，360互联网安全中心数据统计显示，本次测评的16款手机客户端软件中，除了1家银行之外，其他银行的手机网银客户端软件均存在盗版现象。

　　手机APP早已是银行业务新天地

　　在移动金融互联网时代，银行的APP客户端（APP为Application的简称，指智能手机的第三方应用程序）正逐渐成为商业银行的“新门户”。目前工农中建交、招行、浦发、光大、中信、兴业等多家银行都陆续推出手机钱包业务。

　　一家银行负责人告诉记者，随着3G、4G技术的发展和智能手机的普及，手机银行的服务范围、业务功能和发展定位都发生了很大的变化，而商业银行的APP客户端在横向整合银行业务、移动支付等功能的同时，还在不断地纵向延伸，例如，加入一些电子商务、生活服务类应用。他们银行的APP客户端里的功能和应用已经近五十类，数百个小项，而服务仍然不断地在增加。

　　“只要有一个手机，支付结算、生活服务等各项需求都可以得到满足。”这位负责人说，移动金融让银行变了，也让老百姓的生活发生了改变，越来越多的客户使用习惯早已向手机银行迁移，所以现在各家银行对于银行APP客户端的开发也很重视。

　　在采访中，记者了解到，目前银行客户端已成为大多数商业银行的标配，不同于过去的银行APP仅提供查询、转账等网银端功能，现在的手机银行APP提供的金融服务更加丰富而便捷。

　　为了推广手机银行APP，不少银行的行内转账和跨行转账都免手续费。此外，除账户查询、转账汇款等传统网银端项目之外，银行也在把越来越多的金融服务搬到手机银行APP，贵金属业务、基金代销、理财产品，甚至是融资贷款都可在手机银行APP上进行。

　　“现在，商业银行的APP客户端正在将传统银行业务、移动支付、电子商务、生活服务等各个方面内容囊括。”一家银行电子银行部人士表示，现在买电影票、订飞机票、手机充值、医院挂号、商户优惠活动等生活社交服务，也可通过手机支付。

　　安装程序别乱装，养成好习惯来防范

　　“用户一定不要安装来路不明的程序，最好从正确的渠道下载支付软件。”一位银行人士提醒说，使用时要留个心眼，对一些程序加以辨别或不装，养成防范的好习惯避免自己误入“陷阱”。各大银行的官方网站上都有手机APP下载入口，但用户应及时为手机系统打上安全补丁来阻止木马入侵，或安装其他安全软件，在木马装进手机之前将其查杀。如发现问题后，第一时间致电银行客服热线进行账户封锁或挂失等相关补救措施。

　　另外，《报告》显示正版下载量越高的网银App，盗版版本数也相对较多，个别客户端甚至有20个以上的盗版版本。目前网银及支付类恶意软件主要以“点对点传播”为主，即通过聊天工具进行直接发送恶意软件的二维码下载链接，或通过短信向用户发送恶意软件的下载链接。少数恶意软件也会使用各种伪装并上传到论坛或第三方应用市场供网民下载使用，但从监测的数据来看，此类传播量不大。


　　同时，也提醒网友不要在手机上安装来历不明、可能有危险的程序，同时还应设置敏感应用的访问密码；如遇手机遗失，立马远程销毁手机数据。此外，用户也应尽量减少个人信息泄露，尤其是手机号、身份证号、电子邮箱等敏感信息。

　　有银行人员再次强调，因为国内的移动支付仍处在发展起步阶段，一些隐患问题主要还是市民安全意识不强，所以，用户安全地使用手机支付一定要从良好习惯出发。不要轻信陌生人发来的二维码信息，同时最好保持设置手机开机密码的习惯，并使用数字证书、宝令、支付盾、手机动态口令等安全必备产品。如果收到此类短信后自己有担忧，也一定不要直接拨打短信中留下的联系电话，而是要通过银行官方客服进行咨询。