(1)手机银行APP交易数据可被窜改
手机银行APP在运行过程中,用户停止转账、汇款等交易时的账号,开户行等灵敏数据信息在写进挪动末端内存时,可被黑客操纵手艺手段停止窜改,使得本来要转给亲朋或企业的资金被转进黑客指定的账户。
(2)手机银行APP运行时关键Activity组件随便被劫持
手机银行APP关键组件不具备避免进进后台或提醒用户等相关功用,黑客能够对登录或付出界面停止劫持替代,用户的灵敏数据存在被窃取的风险。
黑客能够在当地监听用户的形态,当用户登岸或者输进交易密码时,弹出伪造的界面拐骗用户输进准确的账号口令,从而窃取用户信息。
(3)手机银行APP抗逆向阐发才能不敷
尝试室的工程师利用反编译东西、反汇编软件敌手机银行APP停止反编译,发现手机银行APP可被反编译而且泄露出大量有效代码。
黑客可以通过反编译,在客户端法式中植进木马、歹意代码以及告白等,客户端法式假设没有自校验机造的话,黑客能够通过窜改客户端法式窃取手机用户的隐私信息。
(4)手机银行APP可以被从头编译二次打包
尝试室工程师敌手机银行APP停止反编译,通过修改代码、XML、资本文件并对其重编译二次打包,重打包后的手机银行APP可以一般运行。
黑客通过在手机银行APP法式中植进歹意代码或告白等,窃取手机用户的资金或隐私信息。
(5)手机银行APP可停止动态调试
手机银行APP能够通过GDB、IDA等调试器停止动态调试,黑客可操纵GDB或IDA等调试器跟踪运行法式,而且施行查看、修改内存中的代码和数据等行为,从而获取用户的灵敏信息。
(6)手机银行APP代码容许肆意备份
手机银行APP代码容许肆意备份,黑客通过备份利用法式获得用户的灵敏信息。
(7)在发布版本的手机银行APP中留存测试用的组件或账号信息
一些手机银行APP在发布版中留存了测试用的组件或账号信息,间接表露办事器接口的挪用参数,如许大大降低了逆向阐发者的工做难度,以至还可能泄露测试用账户,给用户带来极大平安隐患。