一、客户端风险

一、客户端风险

（一）客户端应用程序自身的风险

由于智能手机尤其是 Android 手机的生态环境较为开放，权限控制灵活，应用分发渠道众多，而Android 应用又是基于java 语言开发的，具有易反编译、易修改等特点，所以 Android 应用自身可能面临诸多风险，如图8-2所示。

图8-2

（二）基于仿冒应用的钓鱼欺骗风险

不法分子仿造正版应用软件，诱骗用户安装，进而窃取用户输入的账号、密码、身份证号、交易内容等敏感信息。

（三）基于短信、网站欺诈的钓鱼欺骗风险(https://www.daowen.com)

不法分子通过伪造或者仿冒银行专用短信号码，向客户发送类似于程序升级、客户某些设置过期需要修改之类的短信，诱导客户前往钓鱼网站输入登录名、密码、卡密码、动态设备密码等信息，然后同步使用客户的账号、密码来登录应用，从而非法获利。

（四）界面劫持风险

病毒或者木马程序在后台检测到客户启动金融类 APP 时，弹出一层透明的界面遮罩到其操作界面上层，当客户输入用户名密码时，以为是在金融机构发行的正版 APP 界面上输入，实际上则是被非法软件截获。

（五）暴力登录尝试风险

暴力登录的初级版本是利用攻击程序或者脚本，固定登录用户名，自动化尝试可能的密码组合，直到正确为止。但一般的应用都限制了登录密码连续输错的次数，当密码连续输错超过一定次数后，密码会被临时锁定。后来，暴力攻击演化出了一种新方式： 固定一个常用密码，枚举所有可能的用户名，直到成功。

（六）外联风险

开放是互联网的一大特性。很多移动金融应用为了充分整合外部资源，以 APP 集成或以 Web 接入的方式引进了不少第三方应用或者服务。当第三方应用出现安全漏洞时，对于集成它的移动金融应用及客户来说，也会带来直接风险，如信息泄露、资金转移等。