360報告：銀行APP用系統鍵盤輸入易被木馬記錄

　　很多人都記得，在U盾出現之前，我們用電腦網銀匯款時，為了防止木馬記錄鍵盤按鍵盜取密碼，銀行都會提示是使用動態鍵盤，用鼠標點擊輸入密碼。而在手機支付領域，這一問題仍然存在。據360互聯網安全中心剛剛發布的《2014年第二期中國移動支付安全報告》顯示，當前安卓平台16款主流銀行客戶端軟件中，有2款使用了系統默認輸入法，由於系統默認輸入法的數字排序和按鈕位置均固定，所以很容易被木馬記錄，導致用戶網銀賬號密碼被盜。

圖：某銀行手機支付客戶端自繪隨機鍵盤

　　據了解，在使用手機銀行客戶端的過程中經常會輸入支付密碼、賬戶信息等關鍵信息。而一些木馬也盯上了手機銀行客戶端，記錄鍵盤輸入是很多盜號木馬的基本功能。而為了避免遭到木馬記錄，目前絕大多數手機銀行客戶端都使用“自繪固定鍵盤”和“自繪隨機鍵盤”，但仍有還在使用“系統默認鍵盤”的情況。

　　其中系統默認輸入法的安全性最低，自繪固定鍵盤居中，自繪隨機鍵盤安全系數最高。360報告中指出，此次測試的16款移動支付軟件中多數銀行使用的是自繪固定鍵盤，安全指數最高的自繪隨機鍵盤還並得到被廣泛應用，僅7款客戶端使用了自繪隨機鍵盤，更有2款軟件選擇了最易受到攻擊的系統默認輸入法。

　　360手機安全專家表示，系統默認輸入與系統和銀行客戶端沒有直接聯系，因此，對於使用系統默認輸入法的銀行客戶端軟件來說，當用戶在銀行客戶端中輸入賬戶和密碼時，輸入的內容將直接傳給銀行客戶端。因此一旦默認輸入法感染惡意代碼或被能記錄鍵盤數據的惡意程序監控，用戶輸入的賬號密碼信息將輕易被黑客掌控。自繪固定鍵盤可以避免被第三方輸入法監聽的風險，但對鍵盤記錄的防御能力依然有限。

　　專家介紹稱，自繪隨機鍵盤的安全性要在之前兩者之上，在輸入賬號密碼時會生成隨機鍵盤，使每次輸入時點擊的位置都不盡相同。如此一來，就算黑客能夠監控到鍵盤記錄，但也會因隨機鍵盤的緣故難以猜測出用戶輸入的內容，其安全性自然也大大提升。

　　可見，手機客戶端整體的安全系數並不如想象中的高，鍵盤監聽類惡意程序對用戶的財產安全的威脅依舊不小。因此，360手機安全專家提醒用戶，要通過正規的手機應用市場下載手機銀行支付軟件，同時也要慎重選擇安全系數較高的手機銀行客戶端。360手機衛士也可幫助用戶檢測、查殺手機中的木馬病毒，避免財產損失的情況發生。

　　《2014年第二期中國移動支付安全報告》報告全文:

　　http://zt.360.cn/report/返回比特網首頁>>