【招商银行信用卡】网友提问:
5.1.3.8版本网银的“安全”真相
经过分析,5.1.3.8版本所谓scmb32.*其实就是用的winio库(这个库可以允许程序绕过windows直接读写键盘等硬件缓冲区),而这个库的出处就是www.internals.com这个没有保证的第三方。这里面的代码如果被研究出了漏洞,那么用户面对的就是直接的安全威胁。这是一个网银软件,不是自己做着玩的东东,使用这种来历不明的第三方库根本是不负责任的表现。这就是招商银行的技术人员所谓的“驱动级的安全措施”,广大的5.1.3.8版本的用户,当你们把安全寄托于网络银行的时候,招商银行的技术人员已经把你们的安全出卖了另外,也是由于用了这个库,所以很多人会发现启动后键盘假死等驱动不稳定现象,并且造成USB键盘不能用。以及在一些比较不常见的版本比如Win2K3/64bit,WinXP/64bit等操作系统上不能安装或正常使用,因为这个第三方的winio库在开发和设计时根本就没有考虑什么兼容性和安全性。此外,现在的专业版卸载并不能把这个库完全的卸载,也就是说,你卸载了专业版不等于这个隐患就解决了。奉劝所有电脑上存有重要数据的用户安装5.1.3.8版本之前谨慎行事,请神容易送神难。
卡友回复:
我的专业版升级后只能通过恢复证书才能登陆了。否则提示无效用户,郁闷啊!!!
卡友回复:
偶用的移动证书,应该没有什么影响吧?
卡友回复:
郁闷。招行赶紧给我解决问题。我总不能每次都恢复证书玩吧……
卡友回复:
我每次都得把隔离卡程序卸掉才能启动
卡友回复:
晕哦,最近招行搞什么啊。
卡友回复:
对于观点:我每次都得把隔离卡程序卸掉才能启动
我觉得,麻烦不是大事,只要客户宽容一些(当然了,总要求客户宽容本身就是很滑稽的事情),为了安全,麻烦大家都能忍了。
现在的问题是招行专业版拿了个第三方的开放库就来用,这个库键盘精灵也用,风扇控制也用,隔离卡也用,好用到连木马都爱用。问题就来了,其他那些小程序用用也就罢了,一个金融软件怎么敢擅自使用这样来路不明的东西?
要知道,要是木马装了winio用于检测按键,强一点的杀毒软件会报警的。今天这个库是招行给装上的,对于普通用户万一中了什么木马调用它监控,看到杀毒软件报这个警,用户是相信招行还是相信杀毒软件?相信杀毒软件,专业版就用不成了;相信招行,用户的资金可能就要遭殃。
实在是想不通招行为什么要这么做的。要知道,要是客户因此受损失,那和客户被钓鱼网站骗去钱,或者是客户自己保管密码不善或者保管机器不善被人黑去钱,招行的责任可是大不一样啊。
卡友回复:
整天升级真是烦人