招商银行网上银行控件存在安全隐患!
來源:solidot
對待這個問題感覺比較吃驚,也許你說問題不嚴(yán)重,看到這個文章之前的我經(jīng)常用招商銀行的帳戶進(jìn)行轉(zhuǎn)帳,撥款……,讓我的心呢~~
"安裝類似木馬的直接訪問底層硬件的驅(qū)動,改名、藏匿這些dll,遇到遠(yuǎn)程桌面登陸不加提示就關(guān)閉該服務(wù),并立即重啟。上述功能不是某流氓插件或木馬,而是——招商銀行網(wǎng)上銀行的控件。還有,這個控件幾經(jīng)投訴,卻依舊沒有進(jìn)行數(shù)字簽名!"
具體的內(nèi)容來自:http://blog.delphij.net/archives/001649.html
使用招商銀行專業(yè)版的朋友會發(fā)現(xiàn),近期的招行網(wǎng)銀升級引入了一個叫sbmc32.dll的文件,并導(dǎo)致在64位Windows系統(tǒng)上的安裝無法正常進(jìn)行。這個文件是什么呢?
答案是WinIO——一個來自Internals.com的軟件。它的作用是什么呢?按照作者的說法是:“This library allows direct I/O port and physical memory access under Windows 9x/NT/2000 and XP. Version 2.0 provides faster I/O port access, better memory mapping support and can be used from non-administrative accounts under Windows NT/2000 and XP.”。簡而言之——通過給Windows開這樣一扇后門,即使沒有管理員權(quán)限的進(jìn)程,也可以監(jiān)控你的計算機(jī)的一舉一動了。
遺憾的是,招商銀行的技術(shù)人員很顯然并不了解這個程序可能產(chǎn)生的后果。我們通過比對對應(yīng)文件的MD5可以發(fā)現(xiàn)一個很有意思的現(xiàn)象:
[delphij@tarsier] ~> md5 sbmc32.*
MD5 (sbmc32.dll) = 0e5e0e1da4febe20ef529d7a2a2969d7
MD5 (sbmc32.sys) = 7e5a7cf19504af7ddaf4fa36261940d1
MD5 (sbmc32.vxd) = 7a5af5dd62c4bc97c1654790e8d2f307
而另一方面:
[delphij@tarsier] ~> md5 [Ww]in*
MD5 (WinIo.dll) = 6d113aa35a8c79b236751e4ccf2b7751
MD5 (WinIo.sys) = 7e5a7cf19504af7ddaf4fa36261940d1
MD5 (winio.vxd) = 7a5af5dd62c4bc97c1654790e8d2f307
這說明什么問題呢?有兩個來自Internet的二進(jìn)制的文件,被不加修改地直接使用了。我們可以推斷:某些引入這些文件的人,不懂得如何編譯一個.vxd和.sys文件,他只會編寫MFC程序,正如那個LiveUpdate程序被叫做“MFC基礎(chǔ)類應(yīng)用程序”一樣。
如此不專業(yè)的作法是令人非常震驚的。
在大學(xué)學(xué)習(xí)過《操作系統(tǒng)設(shè)計原理》的人都應(yīng)該清楚,為什么操作系統(tǒng)需要隔離程序和硬件——出于顯然的安全性考慮,操作系統(tǒng)沒有辦法驗證訪問硬件的程序是善意或者是惡意的。給用戶安裝這樣一個驅(qū)動,有什么辦法來阻止惡意的程序來利用這個驅(qū)動所提供的能力,去控制用戶的鍵盤輸入、監(jiān)視用戶的一舉一動呢?
另一方面,作為銀行,盡管我們可以信任由銀行發(fā)行的軟件,但將這樣一個來自第三方的軟件的二進(jìn)制版本直接包裝到自己的軟件包里面,而不進(jìn)行哪怕是重新編譯一下這樣的行動,這是一種很專業(yè)的做法嗎?
很難相信這些做法都是招商銀行所聲稱的“為用戶安全考慮”之下進(jìn)行的,因為這些行為,一經(jīng)違反了許多最為基本的安全常識。我不知道,通過這種做法,能夠給用戶的安全性帶來什么益處,或者,又會給他們帶來什么樣的安全隱患?
要知道,WinIO這個服務(wù),盡管本身并沒有什么惡意,但它是許多木馬和鍵盤記錄程序的一項基礎(chǔ)工具。搜索WinIO、木馬這兩個關(guān)鍵詞可以看到很多結(jié)果。
這是在維護(hù)用戶的安全和利益嗎?!
我希望招商銀行能夠立刻對這個問題進(jìn)行修正,并采取切實措施避免類似情況再次發(fā)生。
以下是一位資深Windows開發(fā)人員提供的卸載腳本,用于在64位Windows上清除招商銀行安裝程序(說句題外話,招商銀行的安裝程序并不了解如何在64位版本的Windows上安裝驅(qū)動和服務(wù)):
reg delete HKLM/SYSTEM/CurrentControlSet/Services/WINIO /f
regsvr32 /u /s %SystemRoot%/SysWOW64/CMBPB40.ocx
del %SystemRoot%/SysWOW64/Cmb_Pb_LiveUpdate.exe
del %SystemRoot%/SysWOW64/CMBPB40.exe
del %SystemRoot%/SysWOW64/CMBPB40.ocx
del %SystemRoot%/SysWOW64/cmbpbhelp.chm
del %SystemRoot%/SysWOW64/CMBPBUninstall.exe
del %SystemRoot%/SysWOW64/HttpComm.dll
del %SystemRoot%/SysWOW64/sbmc32.dll
del %SystemRoot%/SysWOW64/sbmc32.sys
del %SystemRoot%/SysWOW64/sbmc32.vxd
警告:上述腳本將修改注冊表和服務(wù)配置,非專業(yè)人士請勿使用。
相關(guān)信息,已通過電話投訴方式告知招商銀行。??
第二片章~
招商銀行5.1.3.8版本繼續(xù)無法使用中
繼續(xù)昨天的話題。今天,招商銀行的工作人員給我打來電話,建議我升級到最新版本。現(xiàn)將情況告知大家如下:
o 如同之前他們所做的事情一樣,這個版本依然沒有數(shù)字簽名。在打了客服電話之后,我勉強(qiáng)執(zhí)行了這個版本。
o 如同之前的版本一樣,這個版本仍然無法運(yùn)行在amd64版本的Windows 2003上。
o 為了掩人耳目,這個版本中的WinIO.dll被改頭換面放到了用戶目錄下的CMB/PB40/SysData/cmb8783.dat。
o 而另一方面,那個驅(qū)動的名字,變成了CertClient.dat。
還有一個很有意思的文件,內(nèi)容如下:
[WIN32_VERSION]
NowVersion=4.0.0.0
LowestVersion=4.0.0.0
M&W eKey XCSP_SUPERPWD=88888888
M&W eKey XCSP_USERPWD=11111111
SafeSign CSP Version 1.0_SUPERPWD=88888888
SafeSign CSP Version 1.0_USERPWD=11111111
_SUPERPWD=11111111
_USERPWD=11111111
結(jié)論:
o 做這些事情的人,仍然在試圖把用戶當(dāng)成白癡。
o 但與此同時,他們?nèi)匀煌浟俗罨镜陌踩WR——安全不能建立在別人不知道的基礎(chǔ)之上。
o 盡管如此,他們卻沒有忘記在發(fā)行的軟件中包含一些不該發(fā)布的東西。
o 更有甚者,作為一家金融機(jī)構(gòu),發(fā)行的將要完成如此重任的可執(zhí)行文件,竟然在我三番五次地投訴之后,仍然不做數(shù)字簽名,這一行為足以讓這家金融機(jī)構(gòu)為之蒙羞。
我想再次提醒招商銀行,不要在錯誤的道路上越走越遠(yuǎn)。請修正問題,而不是糊弄用戶,更不要把用戶當(dāng)成白癡。
?
?
總結(jié)
以上是生活随笔為你收集整理的招商银行网上银行控件存在安全隐患!的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 双偶幻方的c语言算法,任意阶幻方的c++
- 下一篇: 云之讯短信验证码配置方法