央视《每周质量报告》：移动支付的隐忧

导语：央视《每周质量报告》今日播出节目“移动支付的隐忧”，关注手机支付的安全性问题，以下为节目文字实录：

【演播室】

共同打造高质量的生活，欢迎收看《每周质量报告》。

就在不久前，有机构发布了这样一组统计数据，2013年我国的第三方支付市场规模达到16万亿元，其中互联网支付的总计金额已经接近9万亿元，比上一年增加了30.04%，而随着移动互联网的不断普及，移动支付的增加更加迅速，2013年移动支付的金额已经超过了1万亿元，比上一年增长了556.75%。

正是因为有了如此惊人的发展速度，网络支付和移动支付的安全问题就更加值得我们关注了，而在调查当中我们发现，现在网络支付和移动支付的安全性还真是没有办法让消费者完全放心。

【正文】

近一段时间，记者接连收到手机用户爆料，其银行卡存款突然不翼而飞。一名福建用户称，银行卡被人从网上利用支付宝、网易宝等第三方支付方式盗刷了6笔2000元钱。

【同期】电话采访福建泉州手机用户

记者：具体什么时间钱被盗走的？

就是4月15号10点。

【正文】

无独有偶，江苏省扬州市警方向记者披露的一起银行卡盗刷案，当事人银行卡被盗刷6万多元。

【同期】江苏省扬州市公安局广陵分局杭集派出所教导员朱凯

1月25号到26号期间，他的一张农业银行的银行卡，被通过这些网上支付平台，被不明身份的人，多次盗刷，总值人民币是6万余元。

【正文】

警方介绍，蹊跷的是，在银行卡被盗刷之前，当事人的银行卡以及保障网银安全的U盾、密码等都没有丢失过，更为奇怪的问题是，在整个盗刷过程中，当事人和银行卡绑定的手机也没有显示出账户变化的提醒短信，直到当事人自己刷卡消费的时候，才发现银行卡被盗刷了。

警方调查发现，被盗刷的6万多元钱，大多用于充话费、购买游戏点卡等网络消费。

按照支付宝等第三方支付平台现有的安全防范措施，只有同时掌握账号、登录密码、支付密码以及短信验证码这四道安全防护密匙，才有可能从网上通过第三方支付平台刷卡转账。而且，每笔刷卡消费或转账，银行也都会给定制了短信提示服务功能的用户手机，下发账户变动提示短信。

那么，到底是谁悄无声息地盗刷了别人的银行卡呢？

北京的一家专门从事网络安全研究的独立第三方机构，对近年来银行卡被通过支付宝盗刷的新闻报道，进行统计分析后发现，部分案例中，因为用户个人不慎，泄露了隐私信息，比如被人用复制身份证补办了手机卡，最终导致银行卡被盗刷，而另外相当一部分的案例，则都是用户被动地因为网络不安全的原因，导致银行卡资金被盗。

【同期】网络安全专家 万涛

被动的行为，就是说你就去上一个Wi-Fi，你只是去咖啡馆喝杯东西，在那儿办办公，正常去使用，你就中了招，你访问的都是正常的网站，开的都是正常的app，在这种情况下你的手机被控制。

【正文】

智能手机主要有苹果iOS系统和安卓系统。目前，由于安卓操作系统的开放性，一旦暴露出安全漏统，对用户信息安全危害也就更大。那么，这种手机操作系统是否存在安全漏洞，不法分子又是否能够利用这些漏洞入侵用户手机，隐秘地通过支付宝等第三方支付平台盗刷用户银行卡呢？

专家经过仔细研究后发现，一些智能手机，目前的确存在系统安全漏洞，足以对用户手机安全构成严重威胁。

诸葛建伟：清华大学副研究员、国家重大专项课题之《Linux/Android操作系统安全漏洞检测》研究小组负责人。

【同期】手机安全专家诸葛建伟

那我们现在已经拿到用户的这款小米2手机，通过我们的技术分析，我们发现其中存在比较多的安全漏洞。

【正文】

专业技术人员向记者再现了利用这种手机操作系统安全漏洞，对手机发起攻击，隐秘盗刷用户银行卡的完整过程。

【同期】手机安全专家诸葛建伟

攻击者会设置一个公共的钓鱼Wi-Fi，通过去配置这样的一款无线路由器，去把它作为用户手机上网的，中间人攻击的一个节点。那如果用户为了省流量，用他的手机连入到这样的一个公共Wi-Fi里，用户的上网流量就会被劫持到攻击者指定的一个笔记本电脑或者是PC上。

【正文】

专家介绍说，一旦手机用户的上网数据流被攻击者劫持，用户点开的任何一个网页，实际上都可能被攻击者暗地里插入了恶意攻击程序，它会利用手机浏览器的安全漏洞，接着在用户手机中自动植入新的木马程序。

这种木马程序又会进一步利用手机操作系统内核中存在的ROOT提权漏洞，这种漏洞会被用来获取原本属于系统自身才能拥有的最高权限，这就意味着攻击者由此获得了手机的完全控制权。

【同期】手机安全专家诸葛建伟

也就是说，他可以去读取手机里面存储的所有的用户的一个隐私信息，以及可以去控制手机上所安装的任何的一个应用(程序)。

【正文】

记者注意到，当用户在手机上输入支付宝账号和密码的时候，这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。

按照支付宝的流程设计，单笔付款金额达到200元，必须经过短信验证码确认后，才能完成支付操作。然而，专家分析发现，攻击者获得手机完全控制权后，短信验证码的安全防范作用也就相当于形同虚设。

【同期】手机安全专家诸葛建伟

同时他还可以利用手机上的木马程序，对支付宝发给用户手机的一个验证码来进行拦截。

【正文】

记者看到，当技术人员使用刚刚获得的支付宝账号和密码发起了转账555元的操作后，支付宝平台原本下发给用户手机的短信验证码，在用户手机屏幕上并没有出现，反而出现在了攻击者的电脑屏幕上。技术人员输入这个验证码之后，用户支付宝账号中的余额555元钱立即被转走了，此外，账户变动的短信提示也被屏蔽，用户手机屏幕上没有出现任何提示信息。

【同期】手机安全专家诸葛建伟

这种新的攻击方式是可以让攻击者非常从容在用户完全没有察觉的这种情况下，偷偷地把你的钱转走。

【正文】

专家警示，这种利用手机操作系统安全漏洞，来攻击用户手机、通过支付宝等第三方支付平台盗刷银行卡的技术并不高深，一般的网络攻击者，只要跟踪到一些已公开的安全漏洞，或者通过地下产业链购买到相关的攻击程序和木马程序，便可以完成对支付宝账号的攻击，盗走用户银行卡资金。

研究人员接下来还扩大了研究范围，结果发现市场上的几款手机都存在同类安全漏洞。

【同期】手机安全专家诸葛建伟

除小米2 机型外，像三星的Galaxy S4、谷歌的Nexus4以及华为、联想的一些机型，也都同样存在着这样的ROOT提权安全漏洞，也就是能够让攻击者获取手机最高权限的一个漏洞。

微信公众号搜索" 驱动之家 "加关注，每日最新的手机、电脑、汽车、智能硬件信息可以让你一手全掌握。推荐关注！【微信扫描下图可直接关注】

转载请注明出处: http://www.315dw.com/view-55201-1.html