每經編輯 每經記者 李玉敏 發自北京
每經記者 李玉敏 發自北京
近日����,瑞星官方網站發布消息稱:“2月21日,建設銀行�、農業銀行的ATM(網銀自助服務機)曝出安全漏洞��,可被黑客利用來侵入銀行內網,套取用戶資料和金錢等�����。目前該漏洞已經被銀行確認���,正在積極處理中���。”
2月22日����,農行和建行都向《每日經濟新聞》記者否認了此消息。
瑞星:對其真實性做過驗證
瑞星表示����,目前很多ATM采用的都是Windows系統�,此次出現漏洞的兩家銀行ATM均是基于WindowsXP的。雖然出問題的ATM機屏蔽了Windows操作系統的快捷鍵、組合鍵、鼠標右鍵�����,并保持自身程序始終置于前段和全屏����,但是在“網銀登陸”頁面使用usbkey時可以繞過限制系統去訪問Windows系統磁盤及運行文件。
“黑客趁機可能通過對ATM植入木馬去盜竊訪問該終端的賬戶信息;另外某些網點的ATM可以訪問內部網絡��,利用漏洞可獲取本機管理員權限�����,再利用本機權限去對內網進行滲透攻擊。”瑞星表示����,黑客一旦取得ATM本地文件夾的瀏覽權限�����,便會通過提升權限的操作獲得最高系統管理員權限,進而在機器上搞破壞�,諸如植入木馬�����、記錄用戶姓名、密碼��、手機等信息�����,更有甚者����,直接進行轉賬����,套取用戶金錢。
2月22日�,《每日經濟新聞》記者就此聯系了瑞星安全專家王占濤����,他說:“有網站爆出這個漏洞以后�����,我們就做了一個安全測試。”不過他也表示��,黑客通過提升權限的操作獲得最高系統管理員權限��,直接進行轉賬套取用戶資金是最極端的情況�。
王占濤還表示����,從理論上來講,電腦上出現的問題�,ATM上也會有的���。瑞星官網也稱:“入侵ATM(難度)并不高�,僅與入侵普通電腦的難度相當��,假如銀行和ATM廠商未能在系統上做必要的安全防護��,那么,危險性就極高����!”
瑞星的消息中還提到:“已經被銀行確認�����,正在積極處理中”�。對此����,王占濤坦言:“曝出這個漏洞的烏云網下面顯示‘廠商已經確認’。”據悉��,烏云網(wooyun.org)就是此前持續曝光多起互聯網公司泄密的網站����。
《每日經濟新聞》記者在該網站上看到了名為 “中國農業銀行電子銀行體驗機終端權限繞過”的漏洞�����,披露狀態顯示為“02-18細節已通知廠商并且等待廠商處理中”�,“02-20廠商已經確認�,細節僅向廠商公開”。但其真實性記者并未核實到�。
2月22日晚間��,瑞星公司給《每日經濟新聞》記者發來一份《關于農業銀行體驗機問題的說明》,相關工作人員表示:“我們的工作人員今天還專門去中關村支行做了體驗��。”
上述說明表示:“2月18日���,烏云網上爆出農業銀行和建設銀行安全問題的漏洞報告����,基于安全公司的責任所致,對其真實性進行驗證如下。測試機器:農行***支行**街**號��。存在安全問題:可突破封裝環境�,使IE跳出。鑒于安全公司職責,未做進一步滲透。推測如被黑客利用���,可使用此機器訪問內網資源。
體驗的結果,瑞星堅稱:“我們認為���,烏云網上的漏洞報告‘中國農業銀行電子銀行體驗機終端權限繞過’真實性成立,因此向網民發布安全警告。”
銀行:不存在漏洞及風險
就上述情況,建行新聞處相關負責人短信回復《每日經濟新聞》記者:“這種說法是很荒唐的,自助設備的管理是國際通用的最先進方法�,說某一家銀行有問題是站不住腳的�����。”
農行相關工作人員表示:“這是一個假新聞,ATM和網銀電子體驗機根本不是一回事�,電子體驗機上不能取錢�。瑞星也沒和我們的業務部門聯系過�。”該工作人還表示��,農行會發布信息澄清的�。
隨后��,農行通過“中國農業銀行電子銀行”的官方微博發布信息稱:“近日有網絡傳言稱我行自助取款機(ATM)出現漏洞�,可能被黑客利用�,這一傳言不符合實際。我行ATM和電子銀行體驗機從病毒防護���、網絡防護、應用控制等層面采取了嚴密的安防措施���,不存在報道所稱漏洞及被黑客攻擊的風險。”
郵儲銀行渠道管理部總經理羅志安在接受《每日經濟新聞》記者采訪時也表示:“ATM要被黑客攻擊���,鍵盤很關鍵,必須要有全鍵盤或者軟鍵盤(手寫鍵盤)���,但是據我了解,一般的ATM機上是沒有鍵盤的���。”
瑞星對此表示,銀行的ATM確實存在漏洞��,只是此次技術人員體驗的是電子銀行體驗機���。對于ATM的問題他們在去年9月份就發過提醒��。
