还没有账号
或使用第三方账号
【实测】银行手机客户端：登陆安全是个大问题
一财网 张婧熠
360手机安全中心周末发布了《手机银行客户端安全性测评报告》，针对当前主流的16家银行移动客户端应用进行了安全性测评。
对于中国的手机银行用户来说，刚过去的这个周末过得有点提心吊胆。（更多独家财经新闻，请加微信号cbn-yicai）
360手机安全中心周末发布了《手机银行客户端安全性测评报告》，针对当前主流的16家银行移动客户端应用进行了安全性测评。结果显示，在安卓系统下的有效拦截账号密码盗取等多项问题测评中，上述主流银行全军覆没。
446万，是在周末两天内迅速发酵的有关上述报告的百度搜索结果条目数字。在移动互联网进入极速发展的今天，手机银行不再仅仅是转账和存取款的交易载体，它所承担和运载的个人投资理财和金融业务已大大扩围。对安全性问题的担忧十分必要。然而，当我们此前喋喋不休抱怨某些银行APP用户体验差到极致的时候，对潜在安全隐患的预期其实已在意料中滋生。
不要妄想一个连用户体验都做不好的银行APP，可以拿出极度负责和专业的态度应对手机安全问题。
但本篇测评并不是技术性安全问题讨论。向外，这需要依赖杀毒软件和良好的自我防范意识；向内；更需要金融机构在抢滩互联网领地的同时打磨好自身功夫和意识。我们接下来的产品测评将主以用户体验和业务创新为主，并结合上述报告提醒大家何处是隐患多发区。这或许对手机用户来说，是对待银行机构和黑客最好的对策。
【本期测评产品：招商银行、光大银行手机客户端】
** 登陆及退出安全 **
登陆安全，是上述报告当中的安全隐患重灾区。
广义的登陆安全，从你开始想要下载客户端的那一刻便开始了。根据上述报告，个别客户端甚至有20个以上的盗版版本。对于目前的手机使用环境来说，基本的安全常识已经升为至官网或主流软件下载平台，下载具有官方认证标志的应用。
下一步，是基于正确下载官方应用的前提下登陆软件。
如下图所示，16款银行客户端登录机制安全性进行测评中，“炸弹”多集中在两类问题上：加密机制不完整或过于简单，以及在通信过程中不对服务端身份进行校验。这两种情况都极容易被攻击者劫持或破解。
以招商银行一卡通登陆和退出环节开始进行实测。
根据招行官网自己的表述，招行手机银行采用的SSL协议进行加解密，为上述报告中使用HTTPS通讯协议进行传送的“合格产品之一”。此外，招行手机银行还开设有登录IP变动检测、转账额度自主设置等安全措施防护。
在实测过程中如下图所示，如果此前有登陆记录，二次登陆时会留下卡号记录。登陆信息分别是卡号、密码、验证码，无短信验证。简单来说，招行采用的是静态密码与图形验证码结合的加密机制。
登陆略显简单。未防止并剔除二次登陆的影响，测评中还在另外一部新办的、非实名制的苹果手机上以同样的卡号信息登陆，依旧畅通无阻。页面显示的加密机制为安全输入键盘。面对猜中密码和截获数据的两种略显矛盾的潜在风险，招商银行更在意后者。招行客户端宣传显示，“SSL安全协议的数据加密传输，即使网络传输的数据被截获，也无法解密和还原”。虽然短信验证也容易引来恶意拦截，但仅知道密码就可以在任意设备上登录使用，也多少让人不大放心。
光大银行手机客户端方面，据光大官网自我表述，手机银行使用了自定义键盘的方式输入登录密码，通过非对称加密、转加密等一系列加密机制进行账务处理验证，采用序列化机制及防重复提交机制避免交易信息被恶意篡改等，进一步保证客户交易的安全性。
本次测评启用的阳光商务理财卡。同样是二次登陆，光大银行只需要输入登录密码便可支持用户登陆。登陆页面采用了光大加密键盘。无静态验证码、短信等验证过程。
而在新设备登陆的测试中，光大银行手机客户端虽多了一项签约手机、身份证号码的验证环节，但同样没有动态验证码的进一步核对。
接下来的实测环节，将主要针对登陆中的防盗刷措施。
高级的木马病毒攻击于无声，且多利用逆向分析和二次打包等隐秘手段；用户目前只能以防范为先。除保障下载正版应用外，也应该保持手机自身使用中的干净、小心。同时，我们仍要对意外状态保持先知先觉。就比如手机被抢……
虽然是我们最不愿意遇到的一个场景，但手机使用过程中意外被他人获得，此时盗刷措施也多半不会很高科技，可能仅仅是多试几次密码输入等。那么，招商银行和光大银行的防范措施又如何呢？
如下图所示，在测评中在招商银行手机客户端连续五次正确输入验证码、故意输错密码后，客户端仅提示登录失败和查询密码错误的字样。若验证码输入错误，则提示登录失败和无效附加码。无次数限制，无限制登录保障。且在多次输错之后，输以正确的登录密码仍能瞬间登陆。
光大银行则表现相对谨慎。连续三次输错密码，客户端将锁定2个小时不能登陆。
而超时退出，是手机银行登陆安全的另一个细节表现。
手机的使用私密度和设备公开化，总在各种场景下存在着矛盾。广义上来说，超时退出主要由应用打开运营时的操作延时，以及返回主页面后的再进入等各场景。毕竟，忘记关闭网银又把手机借给别人，这种时候也很经常。
招商银行在超时退出中表现较为大胆。在操作中途直接返回主菜单，手机会提示招商银行仍在后台运行。超时退出的时间限制，测评中没能在官网搜索到具体的明文表述。但在实测中，5分钟没有任何操作且自动黑屏后，程序仍在正常运营。另外，直接退出并短时内再次进入程序，招行客户端也是支持正常使用的。所以，喜欢招行便捷服务功能的投友们，继续不要轻易借出自己的手机哦。完全的退出操作，是连续两次点击返回键！
光大银行客户端方面，程序打开状态下的超时退出限制为5分钟。另外，直接返回手机主页面后再次进入程序，测评中最长时间间隔为4分钟时，光大银行客户端已经显示需要重新登录了。虽说该版本的客户端仍在服务板块上不及招商客户端完善，但是略偏谨慎的操作安全防范却更胜一筹。
** 产品创新环节实测 **
瑕不掩瑜，这是在互联网时代必须要摒弃的观念。
任何一点事关安全、体验的“瑕”都会彻底葬送掉互联网产品的本身。但银行手机客户端则有点特殊。其凭借业务在移动端唯一平台窗口的优势，曾一度完全无惧用户群流动问题。但伴随互联网金融的冲击、行业交叉覆盖的进一步渗透，已经出现完全产生于移动端的新业务形态。银行手机客户端，已经成为各家必争之地。然而落地，却略显有气无力。
* 招行的微信银行和朝朝盈 *
招商银行的最近一次新业务升级创新，即为本月初推出的招商“微信银行”。在其手机客户端中的用户专区下现已呈现。在微信开放了公众平台消息接口后，招行信用卡中心公众号曾最先推出微信客服号，用以余额查询等业务。而此次升级完成后，号称业务范围则扩展至借记卡和信用卡综合业务，可以实现转账汇款、手机充值、预约办理等服务。
&从客户端通过一系列扫描二维码、关注公众号等操作，便可进入招商银行的微信银行。底部服务导航栏下分别有“我”、“发现”、“无卡取款”三项业务。但逐一点开可发现，真正可在招商微信银行办理的非咨询类实际业务，并不多；主要有办卡和贷款申请、微彩票。其他如余额及账单查询、商家特惠、无卡取款等都为信息资讯类业务。
业务形式大过实质、创新雷声大雨点小，或许是银行拥抱微信类社交平台不得不选取的姿态。不解决用户数据这样一个核心问题，双方或很难互诉衷肠。然而在招商银行手机客户端内，已悄然推进部分新业务新产品，暗自叫板互联网巨头。
在客户端内“我的账户”的个人资产及负债数据下，有“朝朝盈”产品的注册开户入口。标红的处理“炒高收益、0秒赎回”在页面上看起来十分扎眼。这是银行反击“宝宝类”理财产品的一个分战场，民生如意宝等也已做出了先例。根据招行信息显示，朝朝盈业务产品目前仅有“招商招财宝货币市场基金”一只，但可投资产品未来有扩容计划。
作为银行类宝类产品，“朝朝盈”强调仅向客户端用户开放。点击进入后，并无复杂和尽责的风险评估，注册了“朝朝盈”。此后的操作，与阿里一年前推出的余额宝基本一致。不再赘述和测评。
截至21日的7日年化收益率为4.988%，万份收益为1.2041元。同日的余额宝7日年化收益率为4.182%，万份收益为1.1166元。但相比其他银行同胞们的宝类理财产品，优势却并不明显。同日交行快溢通（易方达1）7日年化收益率为4.756%；但每万份日收益高于朝朝盈，为1.7918元。银行宝类收益率最高的当为兴业掌柜钱包，同日的7日年化收益率已达5.11%，每万份日收益1.351元。
招商银行手机客户端上的金融业务板块，内容及产品设计已较为明晰。在其八类栏目下，仍以金融行情、理财产品介绍为主，但同时已支持客户端申请或预约开办信用卡。此外，招商银行手机客户端还在商旅预订、电影票游戏点卡购买、移动端电商等生活服务类业务上，与互联网公司们暗自较劲；e代驾的推出，还暴露了招商银行对LBS领域拓展的野心。
而招商银行在移动互联网化推进中，最值得同行借鉴的则为推出针对招行信用卡的客户端“掌上生活”。该客户端强化和拓展了招商信用卡的各项服务，包括申请开办信用卡、充值缴费、交通罚款和彩票等，且业务范围和商家规模远胜于招商银行手机银行客户端同类业务。同时，启用积分业务也一定程度增加了用户粘性。
* 光大银行的瑶瑶缴费和手机支付 &*
光大银行的手机客户端相对功能集中，目前仅金融助手、手机银行两个栏目页面。金融助手业务板块下，包括了理财产品购买、信用卡激活和分期设置等涉卡业务，以及话费充值、机票游戏点卡购买等生活业务。虽功能较招商银行手机客户端较为简单，但实测发现下述业务均可实现在客户端上的购买落地，无需再经过柜台的认证开通。
光大银行发力移动客户端的另一个动作，是推出整一年的瑶瑶缴费。这是独立于光大银行手机客户端的缴费集成平台，其特色在于同时支持其他银行卡支付。在去年底光大银行对外公布的一组数据显示，瑶瑶缴费缴费规模已突破百亿元，平台内覆盖了水、电、通讯、燃气等十余类近340项的缴费业务。
然而以上海地区手机号码注册登录之后发现，缴费便利性较之数据大打折扣。目前，瑶瑶缴费在上海地区仅7类缴费业务；而“340项”的数据统计口径或是已不同区域的缴费条目为样本。而在瑶瑶缴费的支付环节，客户端指示将跳转至银联支付平台，而非光大银行本身的结算业务。瑶瑶缴费独立于光大客户端存在、非光大结算等诸多表现似乎显示，光大银行欲发力移动端尚难从此处借力。
编辑：一财小编
一财工作坊
增值电信业务经营许可证 沪B2-号 互联网视听节目服务(AVSP):沪备2014002
版权所有 上海第一财经传媒有限公司
技术支持 上海第一财经技术中心|||||| 更多
比特客户端
我们也在这里：
中信银行网银现漏洞 输入任意手机号可知姓名
关键字：漏洞 手机号
　　在中信银行上随便输入一个电话号码，即可查知机主相关信息
　　中国山东网青岛频道5月19日讯 近日有网友爆料称，用中信银行的网上银行为进行充值，在不付费的情况下可以知道机主的名字，导致手机用户隐私被泄露。记者亲自在中信银行网上银行试验发现，输入特定运营商的电话号码后无须充值，页面上即可显示该号码机主的姓名、余额，如果是单位固定电话，还会显示单位全称。中信银行青岛分行网络银行部负责人则认为，银行考虑到显示的只是一个名字，“没有什么大碍”。
　　个人姓名单位全称一览无余
　　记者根据网友提供的步骤，通过中信银行官网登录到个人网上银行，点击“缴费站”一栏，进入手机缴费页面。然后记者选择了一家电信运营商缴费，在出现的自助缴费页面上输入要充值的手机号码后，出现的页面上除了显示缴费地区、账户金额情况等，还显示了完整的缴费用户名。这些信息，全部是在确认充值之前显示。
　　记者又输入了几个朋友的手机号码，均显示全名及余额，且全部正确;随意输入陌生号码，也会显示该号码的机主信息;输入单位固定电话，单位名称及话费也一览无余。
　　记者发现，可查询到机主姓名及单位全称的仅局限于部分运营商号段。同样在中信银行网上银行充值，移动用户姓名用星号(*)代替，电信用户名一栏直接显示空白。
　　中信银行：会考虑协调改进
　　中国山东网青岛频道记者就这一问题咨询了中信银行青岛分行网络银行部的张先生，他表示中信银行设置成显示全名的形式是为了让客户确认充值正确，以防充错。“考虑到显示的只是一个名字，并且现在重名的人这么多，没有什么大碍。”
　　张先生解释，中信与运营商进行缴费合作时，运营商会提供一个标准接口，缴费用户输入手机号，这个接口就会反馈手机用户的信息。中信对这些信息进行屏蔽会有一定的技术难度。
　　张先生说，运营商有时自己会对信息进行了处理。“之前也接到过移动用户向我们反映说因为不显示姓名，充话费时不能确定自己是否充对了。”
　　“但既然有客户觉得显示全名是泄露隐私权，我们会向总行汇报并协调改进，争取研究出一个让大家都满意的。”张先生承诺。
　　隐私信息处理 不同银行各有办法
　　记者尝试了其他几家银行网上银行的话费充值业务，充值步骤都大致相同，但均不存在这样的情况。
　　中国农业银行(601288,股吧)和中国建设银行(601939,股吧)进行充值时，为免充错，都需要输入两遍相同的手机号，不会显示姓名。而(601988,股吧)和中国工商银行(601398,股吧)输入电话号码后，都只会出现姓名的一部分，其余用星号代替。
　　网友看法：容易泄露隐私
　　针对此事，记者采访了几位市民。青岛的耿女士认为，如果单纯从充话费来看，显示名字有助于不充错话费。但是另一方面，又让人觉得没有安全感，有暴露别人隐私的嫌疑。“即使查114，也不会查出个人用户的全名;去运营商查询机主信息，也得有合法的手续吧。”
　　刘女士同样觉得，如果只能看见自己的姓名还好，任何人的姓名、余额都能被别人查到，这不能接受。“万一被坏人利用了，那我岂不是很倒霉？”
相关文章：
[ 责任编辑：小石潭记 ]
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte苹果ID绑定银行卡的时候每次到验证手机号输入验证码的时候，无法点击下一步。显示灰色。怎么破？_百度知道
提问者采纳
在电脑上用iTunes绑定吧，手机貌似有问题，头次我也在这里卡住了
提问者评价
太给力了，你的回答完美地解决了我的问题，非常感谢！
其他类似问题
手机号的相关知识
按默认排序
其他1条回答
我也遇到同样问题了，现在又变成代码已发送了
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁这几天大家抢红包抢得还过瘾吗？年会各种抽奖有没有证明自己的欧洲血统？以及重要的年...
新的一年，祝愿威锋家庭越来越庞大，锋友越来越萌萌哒。在爆竹声声中别忘了常回来看看...
2 月 10 日，历时一年多的中国国家发改委反垄断局对高通公司的反垄断调查终于告一段落...
微信摇红包把 iPhone 给摔了，屏幕顿时出现道道裂痕。没事儿，开心就好，过完年再去换...
虽然苹果没有明说，但 Apple Pay 进军中国显然是苹果的下一步策略。中国建设银行也毫...
在 Moto X 上市第一天，我们就在京东抢购到了一台黑檀木（32GB）版 Moto X 手机，在上...
他曾担任福特公司工程师一职，1999年加盟苹果，是iPod的主要设计师之一。
三星正在为下一代旗舰智能手机Galaxy S6展开宣传攻势，而最新的宣传点则是其在无线充...
7分钟锻炼经科学验证表明，它与健身房锻炼一样有效，而选择 7 分钟锻炼的人群普遍都是...
对于大部分的玩家来说，玩游戏首先认准的一定就是大厂商出品的一些制作精良的大作，尤...
春节将至，或许你还在苦苦寻找能够阖家欢乐的游戏或者一些有趣的 APP，不过既要能够拍...
《波波的世界》( BoBo World )是一款玩法类似于《超级马里奥》的 2D 横版闯关动作游...
近年来，随着中国越来越“开放”，人们学习英语的热情空前高涨，甚至不少家长让自己的...
芬兰游戏自身的水平层次高，在国内外都受到了一致的看好，创造了骄人的销售业绩，赫尔...
不得不承认我们邻国的三胖同志是一位拥有着全球最高娱乐性的政治领袖，无论是我国还是...
Moment 镜头保护套组为用户提供一个自带实体快门的保护套以及可供选择的两种加装镜头...
第三方配件商根据曝光的 iPad 产品信息设计了新的保护套。
如果你不介意让 iPhone 6/6 Plus 镜头更凸更显眼，可以考虑这款名为 Metal Ring 的镜...
Typo，是一个为 iPhone 设计类似黑莓式键盘的手机壳厂商，在去年 3 月已经被黑莓要求...
“CRAZY CASE BATMOBILE”手机壳以蒂姆·伯顿(Tim Burton)在 1989 年执导蝙蝠侠系列电...
作为移动电源市场广受欢迎的品牌，lepow 曾见证了移动电源市场随触摸屏智能手机的发展...
如果将电池做成背夹式，既能当作手机壳，又可以充当移动电源的角色会不会更好一点呢？...
Yohann 由瑞典建筑师 Berend Frenzel 设计，支持 3 种角度观看 iPad，你只需轻微调整...
我苹果手机登陆appID为什么一直显示密码错误。注：密码和账号绝对正确。
注册时间 最后登录
在线时间37 小时 UID
主题帖子人气
青苹果, 积分 196, 距离下一级还需 4 积分
我苹果手机登陆appID为什么一直显示密码错误。注：密码和账号绝对正确。
注册时间 最后登录
在线时间295 小时 UID
主题帖子人气
它说错了 你绝对正确不了 你就从了霸王吧
<p id="rate_87918" onmouseover="showTip(this)" tip="形容的很贴切！确实错了，你就别再犟了&人气 + 1
" class="mtn mbn">
形容的很贴切！确实错了，你就别再犟了
注册时间 最后登录
在线时间15 小时 UID
主题帖子人气
这事情由不得你
注册时间 最后登录
在线时间37 小时 UID
主题帖子人气
那到底怎么办？？？？
注册时间 最后登录
在线时间37 小时 UID
主题帖子人气
我也本来准备重设密码的，结果输入账号点下一步就没有反应！！！
注册时间 最后登录
在线时间19 小时 UID
主题帖子人气
注意大小写,里面有大写和小写的.
注册时间 最后登录
在线时间37 小时 UID
主题帖子人气
有的！！！回5楼klskj于9 秒前发表的: 注意大小写,里面有大写和小写的.......
注册时间 最后登录
在线时间1660 小时 UID
主题帖子人气
看看后缀吧，邮箱的，我之前就搞错了
注册时间 最后登录
在线时间37 小时 UID
主题帖子人气
绝对不可能错啊！！！都输过无数次了！！！回7楼kingshuo88于17 秒前发表的: 看看后缀吧，邮箱的，我之前就搞错了......
注册时间 最后登录
在线时间37 小时 UID
主题帖子人气
今天下午一起床看手机他就不停的要我输入密码！！输了还不停的要我输，也不说密码错误，然后我故意输个错的他就说密码错误！我输正确密码他就不停要我输！！！回7楼kingshuo88于1 分钟前发表的: 看看后缀吧，邮箱的，我之前就搞错了......
威锋旗下产品
Hi~我是威威！
沪ICP备号-1 丨 深公安网监备案号 5
增值电信业务经营许可证：
Powered by Discuz!