|
建行農(nóng)行電子銀行體驗(yàn)機(jī)經(jīng)測(cè)試存安全漏洞
|
|
|
|
|
2012-02-23 作者:記者 蔡穎/北京報(bào)道 來(lái)源:經(jīng)濟(jì)參考報(bào)
|
|
| |
| 【字號(hào)
大
中
小】 |
|
電子銀行再曝漏洞�!著名的IT安全公司瑞星公司對(duì)此發(fā)布了一份調(diào)查報(bào)告。2月22日����,《經(jīng)濟(jì)參考報(bào)》記者從瑞星公司獲悉,相關(guān)政府管理部門(mén)授權(quán)該公司前往上述兩家銀行的網(wǎng)點(diǎn)進(jìn)行安全測(cè)試����,測(cè)試結(jié)果表明體驗(yàn)機(jī)確存安全漏洞。
“近日���,網(wǎng)絡(luò)上曝出農(nóng)業(yè)銀行和建設(shè)銀行的電子銀行體驗(yàn)機(jī)存在安全漏洞問(wèn)題�����,22日���,瑞星公司安全測(cè)試團(tuán)隊(duì)前往農(nóng)行中關(guān)村支行對(duì)其真實(shí)性做了體驗(yàn)測(cè)試,測(cè)試結(jié)果表明安全漏洞問(wèn)題確實(shí)存在���!比鹦前踩珜<彝跽紳龑(duì)《經(jīng)濟(jì)參考報(bào)》記者透露��。
來(lái)自瑞星公司的一份《關(guān)于農(nóng)業(yè)銀行體驗(yàn)機(jī)問(wèn)題的說(shuō)明》指出,“我們認(rèn)為���,烏云網(wǎng)上的漏洞報(bào)告:‘中國(guó)農(nóng)業(yè)銀行電子銀行體驗(yàn)機(jī)終端權(quán)限繞過(guò)’真實(shí)性成立���,因此向網(wǎng)民發(fā)布安全警告����!辈⑶遥鹦枪颈硎���,近期也將出具對(duì)《關(guān)于建設(shè)銀行體驗(yàn)機(jī)問(wèn)題的說(shuō)明》����。該說(shuō)明還表示��,農(nóng)行某支行存在安全問(wèn)題為:“可突破封裝環(huán)境�,使IE跳出。鑒于安全公司職責(zé)���,未做進(jìn)一步滲透��。推測(cè)如被黑客利用����,可使用此機(jī)器訪問(wèn)內(nèi)網(wǎng)資源����!薄
對(duì)于電子銀行出現(xiàn)安全漏洞,《經(jīng)濟(jì)參考報(bào)》記者致電農(nóng)行�����,農(nóng)行方面晚間對(duì)此回應(yīng)稱:“近日有網(wǎng)絡(luò)傳言稱我行自助取款機(jī)(ATM)出現(xiàn)漏洞�����,可能被黑客利用��,這一傳言不符合實(shí)際���。我行ATM和電子銀行體驗(yàn)機(jī)從病毒防護(hù)��、網(wǎng)絡(luò)防護(hù)�、應(yīng)用控制等層面采取了嚴(yán)密的安防措施���,不存在報(bào)道所稱漏洞及被黑客攻擊的風(fēng)險(xiǎn)����,有關(guān)方面未與我行做任何溝通和確認(rèn)�����,特此澄清�。”此外����,建行方面則對(duì)《經(jīng)濟(jì)參考報(bào)》記者表示“正在對(duì)此事做出進(jìn)一步了解”,但目前尚未有統(tǒng)一的回應(yīng)口徑�。
瑞星公司在針對(duì)此事的一份分析報(bào)告中稱,“這些機(jī)器的操作系統(tǒng)都是Windows系統(tǒng)�,雖然出問(wèn)題的機(jī)器屏蔽了Windows操作系統(tǒng)的快捷鍵、組合鍵����、鼠標(biāo)右鍵,并保持自身程序始終置于前段和全屏����,但是在‘網(wǎng)銀登陸’頁(yè)面使用usbkey時(shí)候可以繞過(guò)限制系統(tǒng)去訪問(wèn)Windows系統(tǒng)磁盤(pán)及運(yùn)行文件��!
“黑客趁機(jī)可能通過(guò)植入木馬去盜竊訪問(wèn)該終端的賬戶信息;另外某些網(wǎng)點(diǎn)的機(jī)器可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)����,利用漏洞可獲取本機(jī)管理員權(quán)限,再利用本機(jī)權(quán)限去對(duì)內(nèi)網(wǎng)進(jìn)行滲透攻擊�������!比鹦前踩珜<疫M(jìn)一步指出�,黑客一旦取得本地文件夾的瀏覽權(quán)限,便會(huì)通過(guò)提升權(quán)限的操作獲得最高系統(tǒng)管理員權(quán)限��,便會(huì)在機(jī)器上搞破壞���,諸如植入木馬����、記錄用戶姓名�、密碼、手機(jī)等信息��,更有甚者,直接進(jìn)行轉(zhuǎn)賬��,套取用戶金錢(qián)���。
“從技術(shù)上講,入侵銀行的電子銀行體驗(yàn)機(jī)的難度跟入侵一臺(tái)普通PC沒(méi)什么區(qū)別�,如果銀行沒(méi)有在系統(tǒng)上做必要的安全防護(hù),這臺(tái)機(jī)器就成了黑客的提款機(jī)�,最終受害的是普通用戶�!比鹦前踩珜<彝跽紳J(rèn)為。
事實(shí)上����,銀行網(wǎng)銀安全漏洞問(wèn)題時(shí)有發(fā)生,《經(jīng)濟(jì)參考報(bào)》從瑞星測(cè)試團(tuán)隊(duì)專家處獲悉�,此前還有一些商業(yè)銀行網(wǎng)銀和自助終端機(jī)也有曝出安全漏洞的問(wèn)題。瑞星公司方面堅(jiān)稱����,“目前該漏洞已經(jīng)被銀行確認(rèn),正在積極處理中�。”并且�,瑞星公司已經(jīng)通知相關(guān)單位和公司��,將為銀行�、司法機(jī)關(guān)和銀行卡使用者提供全方位的安全保護(hù)及幫助���。
|
|
| 凡標(biāo)注來(lái)源為“經(jīng)濟(jì)參考報(bào)”或“經(jīng)濟(jì)參考網(wǎng)”的所有文字����、圖片�、音視頻稿件,及電子雜志等數(shù)字媒體產(chǎn)品����,版權(quán)均屬經(jīng)濟(jì)參考報(bào)社,未經(jīng)經(jīng)濟(jì)參考報(bào)社書(shū)面授權(quán)���,不得以任何形式刊載�、播放����。 |
|
|
|
|
|