來源：solidot

對待這個問題感覺比較吃驚，也許你說問題不嚴重，看到這個文章之前的我經常用招商銀行的帳戶進行轉帳，撥款……，讓我的心呢～～

"安裝類似木馬的直接訪問底層硬件的驅動，改名、藏匿這些dll，遇到遠程桌面登陸不加提示就關閉該服務，并立即重啟。上述功能不是某流氓插件或木馬，而是——招商銀行網上銀行的控件。還有，這個控件幾經投訴，卻依舊沒有進行數字簽名！"

具體的內容來自：http://blog.delphij.net/archives/001649.html


使用招商銀行專業版的朋友會發現，近期的招行網銀升級引入了一個叫sbmc32.dll的文件，并導致在64位Windows系統上的安裝無法正常進行。這個文件是什么呢？

答案是WinIO——一個來自Internals.com的軟件。它的作用是什么呢？按照作者的說法是：“This library allows direct I/O port and physical memory access under Windows 9x/NT/2000 and XP. Version 2.0 provides faster I/O port access, better memory mapping support and can be used from non-administrative accounts under Windows NT/2000 and XP.”。簡而言之——通過給Windows開這樣一扇后門，即使沒有管理員權限的進程，也可以監控你的計算機的一舉一動了。

遺憾的是，招商銀行的技術人員很顯然并不了解這個程序可能產生的后果。我們通過比對對應文件的MD5可以發現一個很有意思的現象：

[delphij@tarsier] ~> md5 sbmc32.*
MD5 (sbmc32.dll) = 0e5e0e1da4febe20ef529d7a2a2969d7
MD5 (sbmc32.sys) = 7e5a7cf19504af7ddaf4fa36261940d1
MD5 (sbmc32.vxd) = 7a5af5dd62c4bc97c1654790e8d2f307

而另一方面：

[delphij@tarsier] ~> md5 [Ww]in*
MD5 (WinIo.dll) = 6d113aa35a8c79b236751e4ccf2b7751
MD5 (WinIo.sys) = 7e5a7cf19504af7ddaf4fa36261940d1
MD5 (winio.vxd) = 7a5af5dd62c4bc97c1654790e8d2f307

這說明什么問題呢？有兩個來自Internet的二進制的文件，被不加修改地直接使用了。我們可以推斷：某些引入這些文件的人，不懂得如何編譯一個.vxd和.sys文件，他只會編寫MFC程序，正如那個LiveUpdate程序被叫做“MFC基礎類應用程序”一樣。

如此不專業的作法是令人非常震驚的。

在大學學習過《操作系統設計原理》的人都應該清楚，為什么操作系統需要隔離程序和硬件——出于顯然的安全性考慮，操作系統沒有辦法驗證訪問硬件的程序是善意或者是惡意的。給用戶安裝這樣一個驅動，有什么辦法來阻止惡意的程序來利用這個驅動所提供的能力，去控制用戶的鍵盤輸入、監視用戶的一舉一動呢？

另一方面，作為銀行，盡管我們可以信任由銀行發行的軟件，但將這樣一個來自第三方的軟件的二進制版本直接包裝到自己的軟件包里面，而不進行哪怕是重新編譯一下這樣的行動，這是一種很專業的做法嗎？

很難相信這些做法都是招商銀行所聲稱的“為用戶安全考慮”之下進行的，因為這些行為，一經違反了許多最為基本的安全常識。我不知道，通過這種做法，能夠給用戶的安全性帶來什么益處，或者，又會給他們帶來什么樣的安全隱患？

要知道，WinIO這個服務，盡管本身并沒有什么惡意，但它是許多木馬和鍵盤記錄程序的一項基礎工具。搜索WinIO、木馬這兩個關鍵詞可以看到很多結果。

這是在維護用戶的安全和利益嗎？！

我希望招商銀行能夠立刻對這個問題進行修正，并采取切實措施避免類似情況再次發生。

以下是一位資深Windows開發人員提供的卸載腳本，用于在64位Windows上清除招商銀行安裝程序(說句題外話，招商銀行的安裝程序并不了解如何在64位版本的Windows上安裝驅動和服務)：

reg delete HKLM/SYSTEM/CurrentControlSet/Services/WINIO /f
regsvr32 /u /s %SystemRoot%/SysWOW64/CMBPB40.ocx
del %SystemRoot%/SysWOW64/Cmb_Pb_LiveUpdate.exe
del %SystemRoot%/SysWOW64/CMBPB40.exe
del %SystemRoot%/SysWOW64/CMBPB40.ocx
del %SystemRoot%/SysWOW64/cmbpbhelp.chm
del %SystemRoot%/SysWOW64/CMBPBUninstall.exe
del %SystemRoot%/SysWOW64/HttpComm.dll
del %SystemRoot%/SysWOW64/sbmc32.dll
del %SystemRoot%/SysWOW64/sbmc32.sys
del %SystemRoot%/SysWOW64/sbmc32.vxd

警告：上述腳本將修改注冊表和服務配置，非專業人士請勿使用。

相關信息，已通過電話投訴方式告知招商銀行。??

第二片章～

招商銀行5.1.3.8版本繼續無法使用中

繼續昨天的話題。今天，招商銀行的工作人員給我打來電話，建議我升級到最新版本。現將情況告知大家如下：

o 如同之前他們所做的事情一樣，這個版本依然沒有數字簽名。在打了客服電話之后，我勉強執行了這個版本。
o 如同之前的版本一樣，這個版本仍然無法運行在amd64版本的Windows 2003上。
o 為了掩人耳目，這個版本中的WinIO.dll被改頭換面放到了用戶目錄下的CMB/PB40/SysData/cmb8783.dat。
o 而另一方面，那個驅動的名字，變成了CertClient.dat。

還有一個很有意思的文件，內容如下：

[WIN32_VERSION]
NowVersion=4.0.0.0
LowestVersion=4.0.0.0
M&W eKey XCSP_SUPERPWD=88888888
M&W eKey XCSP_USERPWD=11111111
SafeSign CSP Version 1.0_SUPERPWD=88888888
SafeSign CSP Version 1.0_USERPWD=11111111
_SUPERPWD=11111111
_USERPWD=11111111

結論：
o 做這些事情的人，仍然在試圖把用戶當成白癡。
o 但與此同時，他們仍然忘記了最基本的安全常識——安全不能建立在別人不知道的基礎之上。
o 盡管如此，他們卻沒有忘記在發行的軟件中包含一些不該發布的東西。
o 更有甚者，作為一家金融機構，發行的將要完成如此重任的可執行文件，竟然在我三番五次地投訴之后，仍然不做數字簽名，這一行為足以讓這家金融機構為之蒙羞。

我想再次提醒招商銀行，不要在錯誤的道路上越走越遠。請修正問題，而不是糊弄用戶，更不要把用戶當成白癡。

?

?

總結

以上是生活随笔為你收集整理的招商银行网上银行控件存在安全隐患!的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。