Praetorian的安然专家本月测试了275个苹果iOS和Android手机银行利用法度，这些利用法度来自50家个首要金融机构、50家大年夜型区域性银行和50家大年夜型美国诺言合作社。成果发现，80%的利用法度建设不当，没有益用最好软件做法来构建。这些被测试的驰名银行包含：美国银行、花旗银行、富国银行、高盛、摩根士丹利、第一本钱金融和太阳信任银行。Praetorian并没有流露每个银行的利用法度在测试中的表示。

　　今朝，手机银行已开端起飞，虽然速度比较迟缓。约35%的美国人在利用手机银行，这比2012年增加了11%。NSS尝试室的最新陈述中，一些银行陈述显示手机银行每年增加70%。

　　Praetorian公司初创人兼首席履行官Nathan Sportsman暗示，手机银行利用法度中的安然缝隙其实不是纯粹的软件缝隙，所以它们是风险相对较低的标题问题，但这些标题问题终很可能导致受报复打击。

　　Sportsman 暗示：“这些都不是营业逻辑性或针对利用法度的标题问题，而是全部移动利用法度的标题问题，这些是开辟人员应当解决而没有解决的标题问题，这些利用法度可以经由过程苹果和谷歌的利用商铺下载。”

　　研究人员测试的缝隙是软件中驰名的减缓功能，测试是在每个本地设备的移动利用法度上履行，而不是在后端web办事器和办事。Sportsman暗示，这个测试只是全部手机银行报复打击环境的一个剪影，因为75%到90%的手机银行产生在后端。

　　他暗示：“这不是侵进性测试，我们没有寻觅SQL注进，需要权限来做到这一点，所以我们很是向看看这些移动利用法度的建设。”他希看下次测试信息是若何存储在本地设备上的。

　　Praetorian利用其新的移动利用安然测试平台Project Neptune履行了此次测试。在第一次测试中发现：良多基于iOS的手机银行利用法度没有启用主动援引计数(ARC)--内存治理功能;位置无关可履行文件—避免缓冲区溢出;和仓库呵护功能—呵护利用法度不会呈现“仓库破裂”。

　　Sportsman称：“仓库破裂和ASLR(地址空间布局随机化)已存在很长一段时候，这些利用法度中应当启用这类呵护。”

　　良多基于Android的手机银行利用法度被发现是针对老版本的Android软件开辟东西包，贫乏权限硬化，并启用了调试功能。对开辟者而言，老版本SDK靶向和调试功能将是最大年夜的担忧标题问题。

　　不希罕的是，大年夜型金融机构比诺言社或区域性银行表示更好，但辨别也不较着：诺言社利用法度有108个建设缝隙;区域性银行动97个，而大年夜型金融机构为75。

　　为甚么这些利用法度存在建设标题问题?整体而言，在金融办事行业，手机银行面对着“急于进进市场”的压力，这可能导致呈现一些缝隙。并且，地区银行和诺言社常常会外包这类利用开辟工作。

　　与此同时，NSS尝试室的Ken Baylor指出，良多手机银行利用法度大年夜大都具有根基的安然性。“大年夜大都银行开端供给简单重定向到移动网站(功能有限)的移动办事，经由过程检测智妙手机HTTP表头。其他银行则成立了具有更好HTML包装器的移动利用法度，供给更好的用户体验和更多功能。到今朝为止，只有少数银行动每个平台构建了安然的本机利用法度。”

　　良多移出手机利用法度是基于简化的HTML代码，这使它们等闲遭到报复打击，这应当促使更多银行动手机开辟本机利用法度，增加安然功能，例如加密和地舆定位。