Praetorian的安全專家本月測試了275個蘋果iOS和Android手機銀行應用程序，這些應用程序來自50家個主要金融機構、50家大型區域性銀行和50家大型美國信用合作社。結果發現，80%的應用程序配置不當，沒有使用最佳軟件做法來構建。這些被測試的知名銀行包括：美國銀行、花旗銀行、富國銀行、高盛、摩根士丹利、第一資本金融以及太陽信托銀行。Praetorian并沒有透露每個銀行的應用程序在測試中的表現。

目前，手機銀行已經開始騰飛，盡管速度比較緩慢。約35%的美國人在使用手機銀行，這比2012年增加了11%。NSS實驗室的最新報告中，一些銀行報告顯示手機銀行每年增加70%。

Praetorian公司創始人兼首席執行官Nathan Sportsman表示，手機銀行應用程序中的安全漏洞并不是純粹的軟件漏洞，所以它們是風險相對較低的問題，但這些問題最終可能導致受攻擊。

Sportsman 表示：“這些都不是業務邏輯性或針對應用程序的問題，而是整個移動應用程序的問題，這些是開發人員應該解決而沒有解決的問題，這些應用程序可以通過蘋果和谷歌的應用商店下載。”

研究人員測試的漏洞是軟件中知名的緩解功能，測試是在每個本地設備的移動應用程序上執行，而不是在后端web服務器和服務。Sportsman表示，這個測試只是整個手機銀行攻擊情況的一個剪影，因為75%到90%的手機銀行發生在后端。

他表示：“這不是侵入性測試，我們沒有尋找SQL注入，需要權限來做到這一點，所以我們非常向看看這些移動應用程序的配置。”他希望下次測試信息是如何存儲在本地設備上的。

Praetorian使用其新的移動應用安全測試平臺Project Neptune執行了這次測試。在第一次測試中發現：很多基于iOS的手機銀行應用程序沒有啟用自動引用計數(ARC)--內存管理功能;位置無關可執行文件—防止緩沖區溢出;以及堆棧保護功能—保護應用程序不會出現“堆棧破碎”。

Sportsman稱：“堆棧破碎和ASLR(地址空間布局隨機化)已經存在很長一段時間，這些應用程序中應該啟用這種保護。”

很多基于Android的手機銀行應用程序被發現是針對老版本的Android軟件開發工具包，缺乏權限硬化，并啟用了調試功能。對于開發者而言，老版本SDK靶向和調試功能將是最大的擔憂問題。

不奇怪的是，大型金融機構比信用社或區域性銀行表現更好，但區別也不明顯：信用社應用程序有108個配置漏洞;區域性銀行為97個，而大型金融機構為75。

為什么這些應用程序存在配置問題?總體而言，在金融服務行業，手機銀行面臨著“急于進入市場”的壓力，這可能導致出現一些漏洞。并且，地區銀行和信用社往往會外包這種應用開發工作。

與此同時，NSS實驗室的Ken Baylor指出，很多手機銀行應用程序大多數具有基本的安全性。“大多數銀行開始提供簡單重定向到移動網站(功能有限)的移動服務，通過檢測智能手機HTTP表頭。其他銀行則創建了具有更好HTML包裝器的移動應用程序，提供更好的用戶體驗和更多功能。到目前為止，只有少數銀行為每個平臺構建了安全的本機應用程序。”

很多移動手機應用程序是基于簡化的HTML代碼，這使它們容易受到攻擊，這應該促使更多銀行為手機開發本機應用程序，增加安全功能，例如加密和地理定位。