所谓的安全控件能提供多少安全性?

2014年9月2日

中国的各家网银都要求用户安装其“安全控件”,生成提高用户的安全性。但这些插件真的有效吗?

误区

安全控件可防本地木马?

安全控件是ActiveX控件,只能在IE里运行,外加其他一些辅助程序。ActiveX控件替换了网页里原本的密码输入框,用钩子甚至驱动直接获取键盘输入。从这个角度说,如果安全控件挂钩比木马更接近底层,那么木马就截取不到密码。

但是,防木马不正是杀毒软件做的事吗?杀毒软件可防木马、可杀木马,也会更新病毒库,防木马能力比所谓的安全控件高得多。所以,如果电脑上装有正规杀毒软件,就已经可以预防密码在本机被窃取。

安全控件防止密码在网络中被窃取?

有的安全控件接收密码后,会对其加密,然后把加密后的密码传送给网银服务器。由于密码是加密的,即使中间有人截获了传输的信息,也无法还原密码。

这种方法是可行的,但只是“重复制造轮子”。保护网页的传输安全是HTTPS协议的任务,相比一般的HTTP多了一个S,即secure(安全)。

所以,如果网银网址是以https开头,资料传输过程就已经加密了,安全控件再次加密并不提高安全性。

安全控件并不减弱安全性?

安全控件大多是ActiveX控件,ActiveX很不安全,从微软发布的众多补丁就可以看出。木马病毒容易利用ActiveX机制中的漏洞,多一个ActiveX控件就多一份不安全。所谓的不安全,不光是网银密码被窃取,其他网站的密码、你浏览网页的内容以及你电脑上存储的文件都可能被病毒破坏或获取。

安全控件的僭越行为

安全控件的存在已经没有道理,它还变本加厉,运行守护进程、添加服务、开机自启动等等。这些所谓增加安全的措施都是杀毒软件的工作,而安全控件自己不能做得更好,反而添加漏洞。

一般用户只是偶尔才上网上银行,安全控件却开机运行。不论安全控件资源占用有多少,其本身就是不合理的行为,即流氓行为。

更有甚者,安全控件偷偷添加根证书,破坏信任体系,监控用户上网流量。从这些现有发现来看,安全控件已然成为操作系统中的后门。可以不怀好意的推测,银行以至于政府,已经在利用安全控件监视用户。添加的根证书可以执行中间人攻击,在访问国外银行时截取密码,访问其他https网站时偷梁换柱修改网页内容。