“近日,网络上曝出农业银行和建设银行的电子银行体验机存在安全漏洞问题,22日,瑞星公司安全测试团队前往农行中关村支行对其真实性做了体验测试,测试结果表明安全漏洞问题确实存在。”瑞星安全专家王占涛对《经济参考报》记者透露。
来自瑞星公司的一份《关于农业银行体验机问题的说明》指出,“我们认为,乌云网上的漏洞报告:‘中国农业银行电子银行体验机终端权限绕过’真实性成立,因此向网民发布安全警告。”并且,瑞星公司表示,近期也将出具对《关于建设银行体验机问题的说明》。该说明还表示,农行某支行存在安全问题为:“可突破封装环境,使IE跳出。鉴于安全公司职责,未做进一步渗透。推测如被黑客利用,可使用此机器访问内网资源。”
对于电子银行出现安全漏洞,《经济参考报》记者致电农行,农行方面晚间对此回应称:“近日有网络传言称我行自助取款机(A T M )出现漏洞,可能被黑客利用,这一传言不符合实际。我行A T M和电子银行体验机从病毒防护、网络防护、应用控制等层面采取了严密的安防措施,不存在报道所称漏洞及被黑客攻击的风险,有关方面未与我行做任何沟通和确认,特此澄清。”此外,建行方面则对《经济参考报》记者表示“正在对此事做出进一步了解”,但目前尚未有统一的回应口径。
瑞星公司在针对此事的一份分析报告中称,“这些机器的操作系统都是Window s系统,虽然出问题的机器屏蔽了Window s操作系统的快捷键、组合键、鼠标右键,并保持自身程序始终置于前段和全屏,但是在‘网银登陆’页面使用usbkey时候可以绕过限制系统去访问Window s系统磁盘及运行文件。”
“黑客趁机可能通过植入木马去盗窃访问该终端的账户信息;另外某些网点的机器可以访问内部网络,利用漏洞可获取本机管理员权限,再利用 本 机 权 限 去 对 内 网 进 行 渗 透 攻击。”瑞星安全专家进一步指出,黑客一旦取得本地文件夹的浏览权限,便会通过提升权限的操作获得最高系统管理员权限,便会在机器上搞破坏,诸如植入木马、记录用户姓名、密码、手机等信息,更有甚者,直接进行转账,套取用户金钱。
“从技术上讲,入侵银行的电子银行体验机的难度跟入侵一台普通PC没什么区别,如果银行没有在系统上做必要的安全防护,这台机器就成了黑客的提款机,最终受害的是普通用户。”瑞星安全专家王占涛认为。
事实上,银行网银安全漏洞问题时有发生,《经济参考报》从瑞星测试团队专家处获悉,此前还有一些商业银行网银和自助终端机也有曝出安全漏洞的问题。瑞星公司方面坚称,“目前该漏洞已经被银行确认,正在积极处理中。”并且,瑞星公司已经通知相关单位和公司,将为银行、司法机关和银行卡使用者提供全方位的安全保护及帮助。
