大众银行(Public Bank)将于2025年6月停用旧版PB Engage应用程序(App),并敦促客户改用新版MyPB App。新版网上银行App可在Apple AppStore、Google Play Store和Huawei AppGallery 上下载。
但是,如果你使用的是安卓(Android)手机,新版MyPB App可能会弹出安全通知,通知你某些App可能会导致安全漏洞、隐私泄露以及潜在的数据和金钱损失。我们在Oppo、三星(Samsung)、小米(Xiaomi)和荣耀(Honor)等多款Android手机上安装了该App,以下是我们发现的情况。
MyPB将三星、小米和Oppo上的原生App标记为存在安全风险
在Samsung Galaxy S24 Ultra上,MyPB App将许多预装的原生App标记为存在安全风险,其中包括三星的文字转语音(Text to Speech)语言包、日历(Calendar)、计算器(Calculator)甚至三星儿童模式(Samsung Kids)。同样,在Xiaomi 15上,它将屏幕录像机(Screen Recorder)、小米换机(Mi Mover)、小米遥控(Mi Remote)、Calculator、天气(Weather)、时钟(Clock)和Xiaomi Home等原生App标记为安全风险。同时,在Oppo Find N5上,该App将Clone Phone、屏幕锁定(Screen Lock)、翻译(Translate)、笔记(Notes)、AI Studio、IR Remote和My OPPO列为有风险的App。
之所以发生这种情况,是因为MyPB认为通过“非官方商店”安装的任何App,都存在潜在的安全风险。
问题是,这些第三方应用市场或手机附带的商店,例如三星的Galaxy Store、Xiaomi GetApps和Oppo的App Market,实际上是来自各自智能手机品牌的合法App分发平台。
有趣的是,荣耀(Honor)Magic 7没有弹出任何警告信息,因为荣耀旗舰智能手机完全依赖Google Play Store下载App。
虽然从未知来源下载App(包括直接APK文件)确实对Android手机存在巨大的安全风险,但MyPB App在安全防范方面似乎有些过头了。
在安全信息下方,用户仍然可以继续安装MyPB App,但他们将收到一条消息,提示“继续操作即表示你承认使用从非官方商店安装的应用程序可能产生的潜在危害和财务损失”。
更令人担忧的是,还有一条注释写道“如果你选择保留这些应用程序并继续操作,即表示你承认你了解安装来自非官方/未知来源的应用程序所涉及的风险,包括但不限于上述潜在风险,并且你同意接受这些风险。本银行对因这些风险引起的任何问题不承担任何责任。”
大众银行应重新审视其对第三方应用商店的安全评估
网络诈骗日益猖獗,金融机构和消费者等各方都必须尽一份力,降低金融诈骗和诈骗的风险。然而,在这种情况下,将所有从第三方商店下载的App一概标记为安全风险似乎并不是正确的做法。大多数预装的App(如计算器和日历)都是永久性的,用户无法删除。
希望大众银行的员工能够正视这个问题,因为警告信息可能会引起不必要的恐慌,并怀疑他们的智能手机是否安全。
特别感谢RKMD成员Swee Huatz提醒我们注意此事。
