招商銀行網上銀行控件存在安全隐患!

來源：solidot

對待這個問題感覺比較吃驚，也許你說問題不嚴重，看到這個文章之前的我經常用招商銀行的帳戶進行轉帳，撥款……，讓我的心呢～～

"安裝類似木馬的直接通路底層硬體的驅動，改名、藏匿這些dll，遇到遠端桌面登陸不加提示就關閉該服務，并立即重新開機。上述功能不是某流氓插件或木馬，而是——招商銀行網上銀行的控件。還有，這個控件幾經投訴，卻依舊沒有進行數字簽名！"

具體的内容來自：http://blog.delphij.net/archives/001649.html

使用招商銀行專業版的朋友會發現，近期的招行網銀更新引入了一個叫sbmc32.dll的檔案，并導緻在64位Windows系統上的安裝無法正常進行。這個檔案是什麼呢？

答案是WinIO——一個來自Internals.com的軟體。它的作用是什麼呢？按照作者的說法是：“This library allows direct I/O port and physical memory access under Windows 9x/NT/2000 and XP. Version 2.0 provides faster I/O port access, better memory mapping support and can be used from non-administrative accounts under Windows NT/2000 and XP.”。簡而言之——通過給Windows開這樣一扇後門，即使沒有管理者權限的程序，也可以監控你的計算機的一舉一動了。

遺憾的是，招商銀行的技術人員很顯然并不了解這個程式可能産生的後果。我們通過比對對應檔案的MD5可以發現一個很有意思的現象：

[[email protected]] ~> md5 sbmc32.*

MD5 (sbmc32.dll) = 0e5e0e1da4febe20ef529d7a2a2969d7

MD5 (sbmc32.sys) = 7e5a7cf19504af7ddaf4fa36261940d1

MD5 (sbmc32.vxd) = 7a5af5dd62c4bc97c1654790e8d2f307

而另一方面：

[[email protected]] ~> md5 [Ww]in*

MD5 (WinIo.dll) = 6d113aa35a8c79b236751e4ccf2b7751

MD5 (WinIo.sys) = 7e5a7cf19504af7ddaf4fa36261940d1

MD5 (winio.vxd) = 7a5af5dd62c4bc97c1654790e8d2f307

這說明什麼問題呢？有兩個來自Internet的二進制的檔案，被不加修改地直接使用了。我們可以推斷：某些引入這些檔案的人，不懂得如何編譯一個.vxd和.sys檔案，他隻會編寫MFC程式，正如那個LiveUpdate程式被叫做“MFC基礎類應用程式”一樣。

如此不專業的作法是令人非常震驚的。

在大學學習過《作業系統設計原理》的人都應該清楚，為什麼作業系統需要隔離程式和硬體——出于顯然的安全性考慮，作業系統沒有辦法驗證通路硬體的程式是善意或者是惡意的。給使用者安裝這樣一個驅動，有什麼辦法來阻止惡意的程式來利用這個驅動所提供的能力，去控制使用者的鍵盤輸入、監視使用者的一舉一動呢？

另一方面，作為銀行，盡管我們可以信任由銀行發行的軟體，但将這樣一個來自第三方的軟體的二進制版本直接包裝到自己的軟體包裡面，而不進行哪怕是重新編譯一下這樣的行動，這是一種很專業的做法嗎？

很難相信這些做法都是招商銀行所聲稱的“為使用者安全考慮”之下進行的，因為這些行為，一經違反了許多最為基本的安全常識。我不知道，通過這種做法，能夠給使用者的安全性帶來什麼益處，或者，又會給他們帶來什麼樣的安全隐患？

要知道，WinIO這個服務，盡管本身并沒有什麼惡意，但它是許多木馬和鍵盤記錄程式的一項基礎工具。搜尋WinIO、木馬這兩個關鍵詞可以看到很多結果。

這是在維護使用者的安全和利益嗎？！

我希望招商銀行能夠立刻對這個問題進行修正，并采取切實措施避免類似情況再次發生。

以下是一位資深Windows開發人員提供的解除安裝腳本，用于在64位Windows上清除招商銀行安裝程式(說句題外話，招商銀行的安裝程式并不了解如何在64位版本的Windows上安裝驅動和服務)：

reg delete HKLM/SYSTEM/CurrentControlSet/Services/WINIO /f

regsvr32 /u /s %SystemRoot%/SysWOW64/CMBPB40.ocx

del %SystemRoot%/SysWOW64/Cmb_Pb_LiveUpdate.exe

del %SystemRoot%/SysWOW64/CMBPB40.exe

del %SystemRoot%/SysWOW64/CMBPB40.ocx

del %SystemRoot%/SysWOW64/cmbpbhelp.chm

del %SystemRoot%/SysWOW64/CMBPBUninstall.exe

del %SystemRoot%/SysWOW64/HttpComm.dll

del %SystemRoot%/SysWOW64/sbmc32.dll

del %SystemRoot%/SysWOW64/sbmc32.sys

del %SystemRoot%/SysWOW64/sbmc32.vxd

警告：上述腳本将修改系統資料庫和服務配置，非專業人士請勿使用。

相關資訊，已認證電話投訴方式告知招商銀行。  

第二片章～

招商銀行5.1.3.8版本繼續無法使用中

繼續昨天的話題。今天，招商銀行的從業人員給我打來電話，建議我更新到最新版本。現将情況告知大家如下：

o 如同之前他們所做的事情一樣，這個版本依然沒有數字簽名。在打了客服電話之後，我勉強執行了這個版本。

o 如同之前的版本一樣，這個版本仍然無法運作在amd64版本的Windows 2003上。

o 為了掩人耳目，這個版本中的WinIO.dll被改頭換面放到了使用者目錄下的CMB/PB40/SysData/cmb8783.dat。

o 而另一方面，那個驅動的名字，變成了CertClient.dat。

還有一個很有意思的檔案，内容如下：

[WIN32_VERSION]

NowVersion=4.0.0.0

LowestVersion=4.0.0.0

M&W eKey XCSP_SUPERPWD=88888888

M&W eKey XCSP_USERPWD=11111111

SafeSign CSP Version 1.0_SUPERPWD=88888888

SafeSign CSP Version 1.0_USERPWD=11111111

_SUPERPWD=11111111

_USERPWD=11111111

結論：

o 做這些事情的人，仍然在試圖把使用者當成白癡。

o 但與此同時，他們仍然忘記了最基本的安全常識——安全不能建立在别人不知道的基礎之上。

o 盡管如此，他們卻沒有忘記在發行的軟體中包含一些不該釋出的東西。

o 更有甚者，作為一家金融機構，發行的将要完成如此重任的可執行檔案，竟然在我三番五次地投訴之後，仍然不做數字簽名，這一行為足以讓這家金融機構為之蒙羞。

我想再次提醒招商銀行，不要在錯誤的道路上越走越遠。請修正問題，而不是糊弄使用者，更不要把使用者當成白癡。