導(dǎo)語：央視《每週品質(zhì)報(bào)告》今日播出節(jié)目“移動(dòng)支付的隱憂”，關(guān)注手機(jī)支付的安全性問題，以下為節(jié)目文字實(shí)錄：

　　【演播室】

　　共同打造高品質(zhì)的生活，歡迎收看《每週品質(zhì)報(bào)告》。就在不久前，有機(jī)構(gòu)發(fā)佈了這樣一組統(tǒng)計(jì)數(shù)據(jù)，2013年我國的第三方支付市場(chǎng)規(guī)模達(dá)到16萬億元，其中網(wǎng)際網(wǎng)路支付的總計(jì)金額已經(jīng)接近9萬億元，比上一年增加了30.04%；而隨著移動(dòng)網(wǎng)際網(wǎng)路的不斷普及，移動(dòng)支付的增加更加迅速，2013年移動(dòng)支付的金額已經(jīng)超過了1萬億元，比上一年增長(zhǎng)了556.75%。正是因?yàn)橛辛巳绱梭@人的發(fā)展速度，網(wǎng)路支付和移動(dòng)支付的安全問題就更加值得我們關(guān)注了，而在調(diào)查當(dāng)中我們發(fā)現(xiàn)，現(xiàn)在網(wǎng)路支付和移動(dòng)支付的安全性還真是沒有辦法讓消費(fèi)者完全放心。

　　【正文】

　　近一段時(shí)間，記者接連收到手機(jī)用戶爆料，其銀行卡存款突然不翼而飛。一名福建用戶稱，銀行卡被人從網(wǎng)上利用支付寶、網(wǎng)易寶等第三方支付方式盜刷了6筆2000元錢。

　　【同期】電話採訪福建泉州手機(jī)用戶

　　記者：具體什麼時(shí)間錢被盜走的？

　　就是4月15號(hào)10點(diǎn)。

　　【正文】

　　無獨(dú)有偶，江蘇省揚(yáng)州市警方向記者披露的一起銀行卡盜刷案，當(dāng)事人銀行卡被盜刷6萬多元。

　　【同期】江蘇省揚(yáng)州市公安局廣陵分局杭集派出所教導(dǎo)員朱凱

　　1月25號(hào)到26號(hào)期間，他的一張農(nóng)業(yè)銀行的銀行卡，被通過這些網(wǎng)上支付平臺(tái)，被不明身份的人，多次盜刷，總值人民幣是6萬餘元。

　　【正文】

　　警方介紹，蹊蹺的是，在銀行卡被盜刷之前，當(dāng)事人的銀行卡以及保障網(wǎng)銀安全的U盾、密碼等都沒有丟失過，更為奇怪的問題是，在整個(gè)盜刷過程中，當(dāng)事人和銀行卡綁定的手機(jī)也沒有顯示出賬戶變化的提醒短信，直到當(dāng)事人自己刷卡消費(fèi)的時(shí)候，才發(fā)現(xiàn)銀行卡被盜刷了。

　　警方調(diào)查發(fā)現(xiàn)，被盜刷的6萬多元錢，大多用於充話費(fèi)、購買遊戲點(diǎn)卡等網(wǎng)路消費(fèi)。

　　按照支付寶等第三方支付平臺(tái)現(xiàn)有的安全防範(fàn)措施，只有同時(shí)掌握賬號(hào)、登錄密碼、支付密碼以及短信驗(yàn)證碼這四道安全防護(hù)密匙，才有可能從網(wǎng)上通過第三方支付平臺(tái)刷卡轉(zhuǎn)賬。而且，每筆刷卡消費(fèi)或轉(zhuǎn)賬，銀行也都會(huì)給定制了短信提示服務(wù)功能的用戶手機(jī)，下發(fā)賬戶變動(dòng)提示短信。

　　那麼，到底是誰悄無聲息地盜刷了別人的銀行卡呢？

　　北京的一家專門從事網(wǎng)路安全研究的獨(dú)立第三方機(jī)構(gòu)，對(duì)近年來銀行卡被通過支付寶盜刷的新聞報(bào)道，進(jìn)行統(tǒng)計(jì)分析後發(fā)現(xiàn)，部分案例中，因?yàn)橛脩魝€(gè)人不慎，洩露了隱私資訊，比如被人用複製身份證補(bǔ)辦了手機(jī)卡，最終導(dǎo)致銀行卡被盜刷。而另外相當(dāng)一部分的案例，則都是用戶被動(dòng)地因?yàn)榫W(wǎng)路不安全的原因，導(dǎo)致銀行卡資金被盜。

　　【同期】網(wǎng)路安全專家 萬濤

　　被動(dòng)的行為，就是説你就去上一個(gè)Wifi，你只是去咖啡館喝杯東西，在那兒辦辦公，正常去使用，你就中了招，你訪問的都是正常的網(wǎng)站，開的都是正常的app，在這種情況下你的手機(jī)被控制。

　　【正文】

　　智慧手機(jī)主要有蘋果ios系統(tǒng)和安卓系統(tǒng)，目前，由於安卓作業(yè)系統(tǒng)的開放性，一旦暴露出安全漏統(tǒng)，對(duì)用戶資訊安全危害也就更大。那麼，這種手機(jī)作業(yè)系統(tǒng)是否存在安全漏洞，不法分子又是否能夠利用這些漏洞入侵用戶手機(jī)，隱秘地通過支付寶等第三方支付平臺(tái)盜刷用戶銀行卡呢？

　　專家經(jīng)過仔細(xì)研究後發(fā)現(xiàn)，一些智慧手機(jī)，目前的確存在系統(tǒng)安全漏洞，足以對(duì)用戶手機(jī)安全構(gòu)成嚴(yán)重威脅。

　　諸葛建偉：清華大學(xué)副研究員、國家重大專項(xiàng)課題之《Linux/Android作業(yè)系統(tǒng)安全漏洞檢測(cè)》研究小組負(fù)責(zé)人。

　　【同期】手機(jī)安全專家諸葛建偉

　　那我們現(xiàn)在已經(jīng)拿到用戶的這款小米2手機(jī)，通過我們的技術(shù)分析，我們發(fā)現(xiàn)其中存在比較多的安全漏洞。

　　【正文】

　　專業(yè)技術(shù)人員向記者再現(xiàn)了利用這種手機(jī)作業(yè)系統(tǒng)安全漏洞，對(duì)手機(jī)發(fā)起攻擊，隱秘盜刷用戶銀行卡的完整過程。

　　【同期】手機(jī)安全專家諸葛建偉

　　攻擊者會(huì)設(shè)置一個(gè)公共的釣魚wifi，通過去配置這樣的一款無線路由器，去把它作為用戶手機(jī)上網(wǎng)的，中間人攻擊的一個(gè)節(jié)點(diǎn)。那如果用戶為了省流量，用他的手機(jī)連入到這樣的一個(gè)公共Wifi裏，用戶的上網(wǎng)流量就會(huì)被劫持到攻擊者指定的一個(gè)筆記型電腦或者是PC上。

　　【正文】

　　專家介紹説，一旦手機(jī)用戶的上網(wǎng)數(shù)據(jù)流被攻擊者劫持，用戶點(diǎn)開的任何一個(gè)網(wǎng)頁，實(shí)際上都可能被攻擊者暗地裏插入了惡意攻擊程式，它會(huì)利用手機(jī)瀏覽器的安全漏洞，接著在用戶手機(jī)中自動(dòng)植入新的木馬程式。而這種木馬程式又會(huì)進(jìn)一步利用手機(jī)作業(yè)系統(tǒng)內(nèi)核中存在的ROOT提權(quán)漏洞，這種漏洞會(huì)被用來獲取原本屬於系統(tǒng)自身才能擁有的最高許可權(quán)，這就意味著攻擊者由此獲得了手機(jī)的完全控制權(quán)。

　　【同期】手機(jī)安全專家諸葛建偉

　　也就是説，他可以去讀取手機(jī)裏面存儲(chǔ)的所有的用戶的一個(gè)隱私資訊，以及可以去控制手機(jī)上所安裝的任何的一個(gè)應(yīng)用(程式)。

　　【正文】

　　記者注意到，當(dāng)用戶在手機(jī)上輸入支付寶賬號(hào)和密碼的時(shí)候，這些極其重要的賬戶認(rèn)證資訊幾乎同時(shí)暴露在攻擊者的電腦螢?zāi)簧稀?/p>

　　按照支付寶的流程設(shè)計(jì)，單筆付款金額達(dá)到200元，必須經(jīng)過短信驗(yàn)證碼確認(rèn)後，才能完成支付操作。然而，專家分析發(fā)現(xiàn)，攻擊者獲得手機(jī)完全控制權(quán)後，短信驗(yàn)證碼的安全防範(fàn)作用也就相當(dāng)於形同虛設(shè)。

　　【同期】手機(jī)安全專家諸葛建偉

　　同時(shí)他還可以利用手機(jī)上的木馬程式，對(duì)支付寶發(fā)給用戶手機(jī)的一個(gè)驗(yàn)證碼來進(jìn)行攔截。

　　【正文】

　　記者看到，當(dāng)技術(shù)人員使用剛剛獲得的支付寶賬號(hào)和密碼發(fā)起了轉(zhuǎn)賬555元的操作後，支付寶平臺(tái)原本下發(fā)給用戶手機(jī)的短信驗(yàn)證碼，在用戶手機(jī)螢?zāi)簧蟻K沒有出現(xiàn)，反而出現(xiàn)在了攻擊者的電腦螢?zāi)簧稀＜夹g(shù)人員輸入這個(gè)驗(yàn)證碼之後，用戶支付寶賬號(hào)中的餘額555元錢立即被轉(zhuǎn)走了，此外，賬戶變動(dòng)的短信提示也被遮罩，用戶手機(jī)螢?zāi)簧蠜]有出現(xiàn)任何提示資訊。

　　【同期】手機(jī)安全專家諸葛建偉

　　這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下，偷偷地把你的錢轉(zhuǎn)走。

　　【正文】

　　專家警示，這種利用手機(jī)作業(yè)系統(tǒng)安全漏洞，來攻擊用戶手機(jī)、通過支付寶等第三方支付平臺(tái)盜刷銀行卡的技術(shù)並不高深，一般的網(wǎng)路攻擊者，只要跟蹤到一些已公開的安全漏洞，或者通過地下産業(yè)鏈購買到相關(guān)的攻擊程式和木馬程式，便可以完成對(duì)支付寶賬號(hào)的攻擊，盜走用戶銀行卡資金。

　　研究人員接下來還擴(kuò)大了研究範(fàn)圍，結(jié)果發(fā)現(xiàn)市場(chǎng)上的幾款手機(jī)都存在同類安全漏洞。

　　【同期】手機(jī)安全專家諸葛建偉

　　除小米2 機(jī)型外，像三星的Galaxy S4、谷歌的Nexus4以及華為、聯(lián)想的(品牌的)一些機(jī)型，也都同樣存在著這樣的ROOT提權(quán)安全漏洞，也就是能夠讓攻擊者獲取手機(jī)最高許可權(quán)的一個(gè)漏洞。

　　【正文】

　　記者注意到，專家分析測(cè)試存在系統(tǒng)安全漏洞的這些手機(jī)，分別安裝了市場(chǎng)主流的幾款手機(jī)安全軟體，然而，當(dāng)專業(yè)技術(shù)人員利用這種系統(tǒng)安全漏洞進(jìn)行支付寶轉(zhuǎn)賬攻擊測(cè)試時(shí)，這些安全軟體似乎並沒有表現(xiàn)出安全防護(hù)作用。

　　【同期】手機(jī)安全專家諸葛建偉

　　這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權(quán)漏洞，進(jìn)行進(jìn)一步的攻擊，完全遮罩掉360手機(jī)衛(wèi)士的運(yùn)作，從而讓它失效，我們還進(jìn)一步分析發(fā)現(xiàn)，這種攻擊模式，對(duì)像騰訊手機(jī)管家這樣的一些市場(chǎng)上主流的手機(jī)安全軟體同樣有效，同樣可以讓它們失去保護(hù)手機(jī)的效果。

　　【正文】

　　專家進(jìn)一步分析測(cè)試後還發(fā)現(xiàn)，這種安卓系統(tǒng)安全漏洞，使攻擊者不但可以隱蔽地從網(wǎng)上通過支付寶等第三方支付平臺(tái)，盜刷銀行卡，而且還可以在達(dá)成攻擊目的後，完全擦除攻擊痕跡，相當(dāng)於可以來無影、去無蹤地盜刷用戶銀行卡。

　　【同期】手機(jī)安全專家諸葛建偉

　　他在進(jìn)行一個(gè)惡意轉(zhuǎn)賬之後，他可以徹底地把木馬程式和所有的一些日誌都進(jìn)行一個(gè)擦除。這樣的話，即使你進(jìn)行了一個(gè)報(bào)案，你把這個(gè)手機(jī)交給了警方，警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個(gè)線索。

　　【主持人】

　　【正文】

　　手機(jī)作業(yè)系統(tǒng)是手機(jī)所有應(yīng)用程式運(yùn)作的基礎(chǔ)，相當(dāng)於手機(jī)的大腦。網(wǎng)路安全國家權(quán)威研究機(jī)構(gòu)的專家向記者透露，安卓作業(yè)系統(tǒng)安全漏洞的客觀存在，給攻擊手機(jī)打開了方便之門，使支付寶等移動(dòng)支付應(yīng)用面臨嚴(yán)重的安全威脅。

　　【同期】網(wǎng)路安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室主任杜躍進(jìn)博士

　　移動(dòng)支付是有一整套的方法來保證你的安全，但是一個(gè)安全的環(huán)境如果都沒有的話，就讓你的各種各樣的安全保障都受到很嚴(yán)重的威脅了。

　　【正文】

　　記者了解到，手機(jī)作業(yè)系統(tǒng)的構(gòu)建和完善無法一勞永逸，時(shí)時(shí)都存在防禦與攻擊的博弈。但專家指出對(duì)系統(tǒng)安全漏洞及時(shí)修補(bǔ)，提升安全等級(jí)，是手機(jī)作業(yè)系統(tǒng)廠商無法推卸的責(zé)任。

　　中國人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》第三十二條規(guī)定：支付機(jī)構(gòu)應(yīng)當(dāng)具備必要的技術(shù)手段，確保支付業(yè)務(wù)的安全性。也就是説，支付寶等第三方支付廠商無法回避其確保應(yīng)用軟體安全的義務(wù)和責(zé)任。而中國人民銀行《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定》和《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測(cè)規(guī)範(fàn)——網(wǎng)路支付部分》，明確要求對(duì)用戶輸入的賬戶和密碼等“客戶端鑒別資訊安全”進(jìn)行檢測(cè)，如果發(fā)現(xiàn)其存在賬戶名稱、密碼等敏感數(shù)據(jù)的洩露，就將被劃定為存在嚴(yán)重性問題，這樣，該第三方支付平臺(tái)的整個(gè)業(yè)務(wù)系統(tǒng)的檢測(cè)結(jié)果就將被判定為“不符合”規(guī)範(fàn)。

　　【同期】網(wǎng)路安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室主任杜躍進(jìn)博士

　　這個(gè)就好像是我是一家傳統(tǒng)的銀行，我給你提供銀行服務(wù)，我允許你用我提供給你的工具來做銀行的業(yè)務(wù)操作，結(jié)果我給你提供的工具出問題了。出問題是被別人利用，然後損害到你的利益了，從經(jīng)營方這個(gè)的角度自己來説確實(shí)是有責(zé)任的。

　　【正文】

　　專家研究分析和測(cè)試後發(fā)現(xiàn)，攻擊者之所以能獲取手機(jī)用戶的支付寶賬號(hào)和密碼等重要的認(rèn)證資訊，恰恰就是因?yàn)樗軌驅(qū)χЦ秾殤?yīng)用程式進(jìn)行插樁，植入惡意程式片段，對(duì)用戶輸入進(jìn)行監(jiān)控。

　　【同期】手機(jī)安全專家諸葛建偉

　　支付寶應(yīng)用由於缺乏一些對(duì)抗逆向分析的機(jī)制，以及並沒有對(duì)修改後的支付寶應(yīng)用進(jìn)行一個(gè)驗(yàn)證，就使得被修改後的支付寶應(yīng)用還可以像原來一樣去連接伺服器，來完成登錄和轉(zhuǎn)賬的操作。

　　【正文】

　　記者隨後就支付寶應(yīng)用程式被插樁惡意程式片段的安全防範(fàn)問題，對(duì)支付寶方面進(jìn)行了電話採訪。

　　【同期】支付寶 018號(hào)客服

　　記者：你們能不能發(fā)現(xiàn)，發(fā)現(xiàn)用戶手機(jī)裏的支付寶軟體被人做了手腳？

　　客服：可以的。你剛剛不是把賬號(hào)告訴我，我在這邊查詢到了的嘛。

　　記者：那就只有用戶告訴你了，才能發(fā)現(xiàn)，是嗎？

　　對(duì)啊。

　　記者：那你們?yōu)槭颤N不能主動(dòng)去提示用戶呢？

　　我們是神仙啊！

　　【正文】

　　在複雜多變的網(wǎng)路環(huán)境下，支付寶等第三方支付平臺(tái)安全事件發(fā)生概率並不低。據(jù)2011年中國人民銀行公佈的數(shù)據(jù)顯示，我國網(wǎng)銀安全事件的發(fā)生概率僅為百萬分之一，然而，截至目前，支付寶聲稱其風(fēng)險(xiǎn)概率為十萬分之一。

　　【同期】支付寶公司技術(shù)人員

　　風(fēng)險(xiǎn)發(fā)生率應(yīng)該在十萬分之一左右，那這個(gè)過程中，我們沒辦法去擔(dān)保百分之一百、所有用戶的支付寶全部是安全的。

　　【正文】

　　記者調(diào)查發(fā)現(xiàn)，用戶銀行卡被通過支付寶等第三方支付平臺(tái)盜刷後，除了向支付寶等第三方支付平臺(tái)索賠外，只有等到警方破案後追索贓款來挽回?fù)p失。公開報(bào)道顯示，向第三方支付平臺(tái)索賠，受害者很難個(gè)個(gè)如償所願(yuàn)，有用戶支付寶被盜5萬元，但支付寶拒絕賠償；而記者從警方了解到，即便銀行卡盜刷案順利告破，受害者要想拿回被盜的資金，也不是件簡(jiǎn)單的事情。

　　【同期】江蘇省揚(yáng)州市杭集派出所教導(dǎo)員

　　等犯罪嫌疑人到案以後，隨後我們根據(jù)相關(guān)的法律法規(guī)規(guī)定，跟著這個(gè)案件一起到檢察院、法院，提起公訴以後，才會(huì)附帶民事賠償。

　　【正文】

　　警方透露，隨著移動(dòng)網(wǎng)際網(wǎng)路普及，涉及移動(dòng)支付等方面的網(wǎng)路安全問題越來越突出。要降低移動(dòng)支付給用戶帶來的安全威脅，避免用戶損失，除強(qiáng)化應(yīng)用軟體等廠商的安全責(zé)任和義務(wù)外，採取事先防範(fàn)措施已刻不容緩。

　　專家提醒，用戶儘量避免使用免費(fèi)又不需要密碼的wifi，同時(shí)也要留心不要掉入名稱相近的釣魚wifi網(wǎng)路陷阱。平常最好關(guān)閉手機(jī)wifi自動(dòng)連接功能，以免自動(dòng)掃描並連接上不設(shè)密碼的釣魚wifi網(wǎng)路。此外，可用兩部手機(jī)，一部用來上網(wǎng)登錄支付寶等第三方平臺(tái)刷卡操作，而另一部手機(jī)的號(hào)碼，則專用於收取手機(jī)銀行或者第三方支付平臺(tái)的驗(yàn)證碼，以增加網(wǎng)路攻擊者獲取個(gè)人隱私資訊的難度，降低銀行卡被盜刷風(fēng)險(xiǎn)。

　　【演播室】

　　專家説，在現(xiàn)在網(wǎng)際網(wǎng)路的時(shí)代，面對(duì)各種針對(duì)網(wǎng)際網(wǎng)路的安全問題，沒有一勞永逸的辦法，還是説支付寶等第三方平臺(tái)，他們?yōu)榱擞脩舻馁Y金和資訊安全，也設(shè)置了多道門檻，密碼、短信驗(yàn)證碼等等都是有效的安全屏障，但是隨著不法分子盜取用戶資訊的手段越來越高明，現(xiàn)有的安全防範(fàn)措施也亟待更新升級(jí)，才能更有效地保護(hù)好用戶的資金安全，但是遺憾的是，從目前我們調(diào)查的情況來看，網(wǎng)際網(wǎng)路支付和移動(dòng)支付等第三平臺(tái)的安全防護(hù)手段還不足以防範(fàn)不法分子的攻擊，而這無疑是給用戶留下了巨大的安全隱患。好，感謝收看《每週品質(zhì)報(bào)告》，下周同一時(shí)間再見。