为什么银行 App 的安全键盘并不能守护你的账户安全?
1Password 开发团队的最新一期播客节目谈了很多有关网络安全相关的暴论(Hot takes),例如发往邮箱的登录链接到底安不安全、口令会不会在 2026 年式微,以及 VPN 到底能不能保护好安全等。
如果让我提出一个有关网络安全的暴论,我会提出「安全键盘并不能守护你的账户安全」。这句话里的「安全键盘」,泛指包括中国大陆在内的、部分国家或地区的手机银行 app 中,普遍性地在密码输入框中使用的那套自己实现的触屏软键盘。
如果要让我评价中国大陆金融机构近十年以来最抽象的几个网络安全操作,它应该能排进前三位。
▍安全键盘是怎么来的?
让我们把时间往回拨 30 年,来到个人电脑甚至还没有完全普及的年代。早在 1997 年,招商银行就推出了面向零售和个人的网上银行服务「一网通」。
这应该比大多数人想象的要早得多,毕竟彼时距离发出那封着名的「越过长城走向世界」邮件只过去了十年,彼时的 QQ 也还叫做 OICQ。这个时候个人电脑普及率没那么高,基本上得是「万元户」可能才会有一台家人共享的电脑。但包括即时通讯、网络游戏和网上银行在内的互联网应用的兴起,依然促成了一波对互联网需求的高峰,而彼时基础设施和个人电脑普及就显得像是个「远水」,解不了人民群众的「近火」,因此催生出了「网吧」,也就是提供公共互联网接入的服务。
现在我们知道,在公共设备上登录自己的互联网账户有很多安全上需要注意的地方,例如用完电脑需要将登录状态移除(退出登录),或者要使用浏览器的「访客模式」或「隐身模式」等等。但有一种原始但有效的「中间人攻击」方式在彼时颇为流行,就是在键盘和计算机的 PS/2 接口中间,添加一个键盘记录器。
键盘记录器的作用,就是记录使用这台电脑的所有用户的键盘操作记录,你输入什么字符、按下什么按钮,它统统都记下来。而且,为了(在视觉上)隐蔽键盘记录器,它通常都会被做得很小,以便隐蔽在电脑机箱后侧。
设想一下,如果你在网吧上网,选了一台被人设置了这种键盘记录器的电脑,然后在电脑上打开了 QQ,通过键盘输入了你的 QQ 号和密码。你离开网吧之后,设置键盘记录器的人回收了记录着你输入过的所有字符的记录器,然后在你和网上的 GG 或者 MM 糖分超标的暧昧聊天记录之间找到了你的 QQ 号和密码。三天后,你的 QQ 就被盗了。
收到你和其他用户对这种问题反馈的腾讯和其他公司不得不向自家用户发出大量提醒,包括在网吧上网需要时刻检查机箱背面插键盘 PS/2 的地方是否有什么奇奇怪怪的东西,但投诉依然像雪片般飞来。这时候,有个工程师想到了一个主意:键盘记录器只能记录键盘的输入、但不能录制屏幕的显示,那我们设计一个能绕过键盘记录的「软键盘」供用户输入,不就能绕过键盘记录器了吗?
[加西网正招聘多名全职sales 待遇优]
还没人说话啊,我想来说几句
如果让我提出一个有关网络安全的暴论,我会提出「安全键盘并不能守护你的账户安全」。这句话里的「安全键盘」,泛指包括中国大陆在内的、部分国家或地区的手机银行 app 中,普遍性地在密码输入框中使用的那套自己实现的触屏软键盘。
如果要让我评价中国大陆金融机构近十年以来最抽象的几个网络安全操作,它应该能排进前三位。
▍安全键盘是怎么来的?
让我们把时间往回拨 30 年,来到个人电脑甚至还没有完全普及的年代。早在 1997 年,招商银行就推出了面向零售和个人的网上银行服务「一网通」。
这应该比大多数人想象的要早得多,毕竟彼时距离发出那封着名的「越过长城走向世界」邮件只过去了十年,彼时的 QQ 也还叫做 OICQ。这个时候个人电脑普及率没那么高,基本上得是「万元户」可能才会有一台家人共享的电脑。但包括即时通讯、网络游戏和网上银行在内的互联网应用的兴起,依然促成了一波对互联网需求的高峰,而彼时基础设施和个人电脑普及就显得像是个「远水」,解不了人民群众的「近火」,因此催生出了「网吧」,也就是提供公共互联网接入的服务。
现在我们知道,在公共设备上登录自己的互联网账户有很多安全上需要注意的地方,例如用完电脑需要将登录状态移除(退出登录),或者要使用浏览器的「访客模式」或「隐身模式」等等。但有一种原始但有效的「中间人攻击」方式在彼时颇为流行,就是在键盘和计算机的 PS/2 接口中间,添加一个键盘记录器。
键盘记录器的作用,就是记录使用这台电脑的所有用户的键盘操作记录,你输入什么字符、按下什么按钮,它统统都记下来。而且,为了(在视觉上)隐蔽键盘记录器,它通常都会被做得很小,以便隐蔽在电脑机箱后侧。
设想一下,如果你在网吧上网,选了一台被人设置了这种键盘记录器的电脑,然后在电脑上打开了 QQ,通过键盘输入了你的 QQ 号和密码。你离开网吧之后,设置键盘记录器的人回收了记录着你输入过的所有字符的记录器,然后在你和网上的 GG 或者 MM 糖分超标的暧昧聊天记录之间找到了你的 QQ 号和密码。三天后,你的 QQ 就被盗了。
收到你和其他用户对这种问题反馈的腾讯和其他公司不得不向自家用户发出大量提醒,包括在网吧上网需要时刻检查机箱背面插键盘 PS/2 的地方是否有什么奇奇怪怪的东西,但投诉依然像雪片般飞来。这时候,有个工程师想到了一个主意:键盘记录器只能记录键盘的输入、但不能录制屏幕的显示,那我们设计一个能绕过键盘记录的「软键盘」供用户输入,不就能绕过键盘记录器了吗?
[加西网正招聘多名全职sales 待遇优]
| 分享: |
| 注: | 在此页阅读全文 |
推荐: