每经编辑 每经记者 李玉敏 发自北京
每经记者 李玉敏 发自北京
近日,瑞星官方网站发布消息称:“2月21日,建设银行、农业银行的ATM(网银自助服务机)曝出安全漏洞,可被黑客利用来侵入银行内网,套取用户资料和金钱等。目前该漏洞已经被银行确认,正在积极处理中。”
2月22日,农行和建行都向《每日经济新闻》记者否认了此消息。
瑞星:对其真实性做过验证
瑞星表示,目前很多ATM采用的都是Windows系统,此次出现漏洞的两家银行ATM均是基于WindowsXP的。虽然出问题的ATM机屏蔽了Windows操作系统的快捷键、组合键、鼠标右键,并保持自身程序始终置于前段和全屏,但是在“网银登陆”页面使用usbkey时可以绕过限制系统去访问Windows系统磁盘及运行文件。
“黑客趁机可能通过对ATM植入木马去盗窃访问该终端的账户信息;另外某些网点的ATM可以访问内部网络,利用漏洞可获取本机管理员权限,再利用本机权限去对内网进行渗透攻击。”瑞星表示,黑客一旦取得ATM本地文件夹的浏览权限,便会通过提升权限的操作获得最高系统管理员权限,进而在机器上搞破坏,诸如植入木马、记录用户姓名、密码、手机等信息,更有甚者,直接进行转账,套取用户金钱。
2月22日,《每日经济新闻》记者就此联系了瑞星安全专家王占涛,他说:“有网站爆出这个漏洞以后,我们就做了一个安全测试。”不过他也表示,黑客通过提升权限的操作获得最高系统管理员权限,直接进行转账套取用户资金是最极端的情况。
王占涛还表示,从理论上来讲,电脑上出现的问题,ATM上也会有的。瑞星官网也称:“入侵ATM(难度)并不高,仅与入侵普通电脑的难度相当,假如银行和ATM厂商未能在系统上做必要的安全防护,那么,危险性就极高!”
瑞星的消息中还提到:“已经被银行确认,正在积极处理中”。对此,王占涛坦言:“曝出这个漏洞的乌云网下面显示‘厂商已经确认’。”据悉,乌云网(wooyun.org)就是此前持续曝光多起互联网公司泄密的网站。
《每日经济新闻》记者在该网站上看到了名为 “中国农业银行电子银行体验机终端权限绕过”的漏洞,披露状态显示为“02-18细节已通知厂商并且等待厂商处理中”,“02-20厂商已经确认,细节仅向厂商公开”。但其真实性记者并未核实到。
2月22日晚间,瑞星公司给《每日经济新闻》记者发来一份《关于农业银行体验机问题的说明》,相关工作人员表示:“我们的工作人员今天还专门去中关村支行做了体验。”
上述说明表示:“2月18日,乌云网上爆出农业银行和建设银行安全问题的漏洞报告,基于安全公司的责任所致,对其真实性进行验证如下。测试机器:农行***支行**街**号。存在安全问题:可突破封装环境,使IE跳出。鉴于安全公司职责,未做进一步渗透。推测如被黑客利用,可使用此机器访问内网资源。
体验的结果,瑞星坚称:“我们认为,乌云网上的漏洞报告‘中国农业银行电子银行体验机终端权限绕过’真实性成立,因此向网民发布安全警告。”
银行:不存在漏洞及风险
就上述情况,建行新闻处相关负责人短信回复《每日经济新闻》记者:“这种说法是很荒唐的,自助设备的管理是国际通用的最先进方法,说某一家银行有问题是站不住脚的。”
农行相关工作人员表示:“这是一个假新闻,ATM和网银电子体验机根本不是一回事,电子体验机上不能取钱。瑞星也没和我们的业务部门联系过。”该工作人还表示,农行会发布信息澄清的。
随后,农行通过“中国农业银行电子银行”的官方微博发布信息称:“近日有网络传言称我行自助取款机(ATM)出现漏洞,可能被黑客利用,这一传言不符合实际。我行ATM和电子银行体验机从病毒防护、网络防护、应用控制等层面采取了严密的安防措施,不存在报道所称漏洞及被黑客攻击的风险。”
邮储银行渠道管理部总经理罗志安在接受《每日经济新闻》记者采访时也表示:“ATM要被黑客攻击,键盘很关键,必须要有全键盘或者软键盘(手写键盘),但是据我了解,一般的ATM机上是没有键盘的。”
瑞星对此表示,银行的ATM确实存在漏洞,只是此次技术人员体验的是电子银行体验机。对于ATM的问题他们在去年9月份就发过提醒。
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。