农行建行均否认ATM存安全漏洞

每经编辑 每经记者 李玉敏 发自北京    

每经记者 李玉敏 发自北京

近日，瑞星官方网站发布消息称：“2月21日，建设银行、农业银行的ATM（网银自助服务机）曝出安全漏洞，可被黑客利用来侵入银行内网，套取用户资料和金钱等。目前该漏洞已经被银行确认，正在积极处理中。”

2月22日，农行和建行都向《每日经济新闻》记者否认了此消息。

瑞星：对其真实性做过验证

瑞星表示，目前很多ATM采用的都是Windows系统，此次出现漏洞的两家银行ATM均是基于WindowsXP的。虽然出问题的ATM机屏蔽了Windows操作系统的快捷键、组合键、鼠标右键，并保持自身程序始终置于前段和全屏，但是在“网银登陆”页面使用usbkey时可以绕过限制系统去访问Windows系统磁盘及运行文件。

“黑客趁机可能通过对ATM植入木马去盗窃访问该终端的账户信息；另外某些网点的ATM可以访问内部网络，利用漏洞可获取本机管理员权限，再利用本机权限去对内网进行渗透攻击。”瑞星表示，黑客一旦取得ATM本地文件夹的浏览权限，便会通过提升权限的操作获得最高系统管理员权限，进而在机器上搞破坏，诸如植入木马、记录用户姓名、密码、手机等信息，更有甚者，直接进行转账，套取用户金钱。

2月22日，《每日经济新闻》记者就此联系了瑞星安全专家王占涛，他说：“有网站爆出这个漏洞以后，我们就做了一个安全测试。”不过他也表示，黑客通过提升权限的操作获得最高系统管理员权限，直接进行转账套取用户资金是最极端的情况。

王占涛还表示，从理论上来讲，电脑上出现的问题，ATM上也会有的。瑞星官网也称：“入侵ATM（难度）并不高，仅与入侵普通电脑的难度相当，假如银行和ATM厂商未能在系统上做必要的安全防护，那么，危险性就极高！”

瑞星的消息中还提到：“已经被银行确认，正在积极处理中”。对此，王占涛坦言：“曝出这个漏洞的乌云网下面显示‘厂商已经确认’。”据悉，乌云网（wooyun.org）就是此前持续曝光多起互联网公司泄密的网站。

《每日经济新闻》记者在该网站上看到了名为 “中国农业银行电子银行体验机终端权限绕过”的漏洞，披露状态显示为“02-18细节已通知厂商并且等待厂商处理中”，“02-20厂商已经确认，细节仅向厂商公开”。但其真实性记者并未核实到。

2月22日晚间，瑞星公司给《每日经济新闻》记者发来一份《关于农业银行体验机问题的说明》，相关工作人员表示：“我们的工作人员今天还专门去中关村支行做了体验。”

上述说明表示：“2月18日，乌云网上爆出农业银行和建设银行安全问题的漏洞报告，基于安全公司的责任所致，对其真实性进行验证如下。测试机器：农行***支行**街**号。存在安全问题：可突破封装环境，使IE跳出。鉴于安全公司职责，未做进一步渗透。推测如被黑客利用，可使用此机器访问内网资源。

体验的结果，瑞星坚称：“我们认为，乌云网上的漏洞报告‘中国农业银行电子银行体验机终端权限绕过’真实性成立，因此向网民发布安全警告。”

银行：不存在漏洞及风险

就上述情况，建行新闻处相关负责人短信回复《每日经济新闻》记者：“这种说法是很荒唐的，自助设备的管理是国际通用的最先进方法，说某一家银行有问题是站不住脚的。”

农行相关工作人员表示：“这是一个假新闻，ATM和网银电子体验机根本不是一回事，电子体验机上不能取钱。瑞星也没和我们的业务部门联系过。”该工作人还表示，农行会发布信息澄清的。

随后，农行通过“中国农业银行电子银行”的官方微博发布信息称：“近日有网络传言称我行自助取款机（ATM）出现漏洞，可能被黑客利用，这一传言不符合实际。我行ATM和电子银行体验机从病毒防护、网络防护、应用控制等层面采取了严密的安防措施，不存在报道所称漏洞及被黑客攻击的风险。”

邮储银行渠道管理部总经理罗志安在接受《每日经济新闻》记者采访时也表示：“ATM要被黑客攻击，键盘很关键，必须要有全键盘或者软键盘（手写键盘），但是据我了解，一般的ATM机上是没有键盘的。”

瑞星对此表示，银行的ATM确实存在漏洞，只是此次技术人员体验的是电子银行体验机。对于ATM的问题他们在去年9月份就发过提醒。