原標題：央視：品牌手機存安全漏洞 成移動支付的隱憂

　　【演播室】

　　共同打造高品質的生活，歡迎收看《每週品質報告》。就在不久前，有機構發(fā)佈了這樣一組統(tǒng)計數(shù)據(jù)，2013年我國的第三方支付市場規(guī)模達到16萬億元，其中網際網路支付的總計金額已經接近9萬億元，比上一年增加了30.04%；而隨著移動網際網路的不斷普及，移動支付的增加更加迅速，2013年移動支付的金額已經超過了1萬億元，比上一年增長了556.75%。正是因為有了如此驚人的發(fā)展速度，網路支付和移動支付的安全問題就更加值得我們關注了，而在調查當中我們發(fā)現(xiàn)，現(xiàn)在網路支付和移動支付的安全性還真是沒有辦法讓消費者完全放心。

　　【正文】

　　近一段時間，記者接連收到手機用戶爆料，其銀行卡存款突然不翼而飛。一名福建用戶稱，銀行卡被人從網上利用支付寶、網易寶等第三方支付方式盜刷了6筆2000元錢。

　　【同期】電話採訪福建泉州手機用戶

　　記者：具體什麼時間錢被盜走的？

　　就是4月15號10點。

　　【正文】

　　無獨有偶，江蘇省揚州市警方向記者披露的一起銀行卡盜刷案，當事人銀行卡被盜刷6萬多元。

　　【同期】江蘇省揚州市公安局廣陵分局杭集派出所教導員朱凱

　　1月25號到26號期間，他的一張農業(yè)銀行的銀行卡，被通過這些網上支付平臺，被不明身份的人，多次盜刷，總值人民幣是6萬餘元。

　　【正文】

　　警方介紹，蹊蹺的是，在銀行卡被盜刷之前，當事人的銀行卡以及保障網銀安全的U盾、密碼等都沒有丟失過，更為奇怪的問題是，在整個盜刷過程中，當事人和銀行卡綁定的手機也沒有顯示出賬戶變化的提醒短信，直到當事人自己刷卡消費的時候，才發(fā)現(xiàn)銀行卡被盜刷了。

　　警方調查發(fā)現(xiàn)，被盜刷的6萬多元錢，大多用於充話費、購買遊戲點卡等網路消費。

　　按照支付寶等第三方支付平臺現(xiàn)有的安全防範措施，只有同時掌握賬號、登錄密碼、支付密碼以及短信驗證碼這四道安全防護密匙，才有可能從網上通過第三方支付平臺刷卡轉賬。而且，每筆刷卡消費或轉賬，銀行也都會給定制了短信提示服務功能的用戶手機，下發(fā)賬戶變動提示短信。

　　那麼，到底是誰悄無聲息地盜刷了別人的銀行卡呢？

　　北京的一家專門從事網路安全研究的獨立第三方機構，對近年來銀行卡被通過支付寶盜刷的新聞報道，進行統(tǒng)計分析後發(fā)現(xiàn)，部分案例中，因為用戶個人不慎，洩露了隱私資訊，比如被人用複製身份證補辦了手機卡，最終導致銀行卡被盜刷。而另外相當一部分的案例，則都是用戶被動地因為網路不安全的原因，導致銀行卡資金被盜。

　　【同期】網路安全專家 萬濤

　　被動的行為，就是説你就去上一個Wifi，你只是去咖啡館喝杯東西，在那兒辦辦公，正常去使用，你就中了招，你訪問的都是正常的網站，開的都是正常的app，在這種情況下你的手機被控制。

　　【正文】

　　智慧手機主要有蘋果ios系統(tǒng)和安卓系統(tǒng)，目前，由於安卓作業(yè)系統(tǒng)的開放性，一旦暴露出安全漏統(tǒng)，對用戶資訊安全危害也就更大。那麼，這種手機作業(yè)系統(tǒng)是否存在安全漏洞，不法分子又是否能夠利用這些漏洞入侵用戶手機，隱秘地通過支付寶等第三方支付平臺盜刷用戶銀行卡呢？

　　專家經過仔細研究後發(fā)現(xiàn)，一些智慧手機，目前的確存在系統(tǒng)安全漏洞，足以對用戶手機安全構成嚴重威脅。

　　諸葛建偉：清華大學副研究員、國家重大專項課題之《Linux/Android作業(yè)系統(tǒng)安全漏洞檢測》研究小組負責人。

　　【同期】手機安全專家諸葛建偉

　　那我們現(xiàn)在已經拿到用戶的這款小米2手機，通過我們的技術分析，我們發(fā)現(xiàn)其中存在比較多的安全漏洞。

　　【正文】

　　專業(yè)技術人員向記者再現(xiàn)了利用這種手機作業(yè)系統(tǒng)安全漏洞，對手機發(fā)起攻擊，隱秘盜刷用戶銀行卡的完整過程。

　　【同期】手機安全專家諸葛建偉

　　攻擊者會設置一個公共的釣魚wifi，通過去配置這樣的一款無線路由器，去把它作為用戶手機上網的，中間人攻擊的一個節(jié)點。那如果用戶為了省流量，用他的手機連入到這樣的一個公共Wifi裏，用戶的上網流量就會被劫持到攻擊者指定的一個筆記型電腦或者是PC上。

　　【正文】

　　專家介紹説，一旦手機用戶的上網數(shù)據(jù)流被攻擊者劫持，用戶點開的任何一個網頁，實際上都可能被攻擊者暗地裏插入了惡意攻擊程式，它會利用手機瀏覽器的安全漏洞，接著在用戶手機中自動植入新的木馬程式。而這種木馬程式又會進一步利用手機作業(yè)系統(tǒng)內核中存在的ROOT提權漏洞，這種漏洞會被用來獲取原本屬於系統(tǒng)自身才能擁有的最高許可權，這就意味著攻擊者由此獲得了手機的完全控制權。

　　【同期】手機安全專家諸葛建偉

　　也就是説，他可以去讀取手機裏面存儲的所有的用戶的一個隱私資訊，以及可以去控制手機上所安裝的任何的一個應用(程式)。

　　【正文】

　　記者注意到，當用戶在手機上輸入支付寶賬號和密碼的時候，這些極其重要的賬戶認證資訊幾乎同時暴露在攻擊者的電腦螢幕上。

　　按照支付寶的流程設計，單筆付款金額達到200元，必須經過短信驗證碼確認後，才能完成支付操作。然而，專家分析發(fā)現(xiàn)，攻擊者獲得手機完全控制權後，短信驗證碼的安全防範作用也就相當於形同虛設。

　　【同期】手機安全專家諸葛建偉

　　同時他還可以利用手機上的木馬程式，對支付寶發(fā)給用戶手機的一個驗證碼來進行攔截。

　　【正文】

　　記者看到，當技術人員使用剛剛獲得的支付寶賬號和密碼發(fā)起了轉賬555元的操作後，支付寶平臺原本下發(fā)給用戶手機的短信驗證碼，在用戶手機螢幕上並沒有出現(xiàn)，反而出現(xiàn)在了攻擊者的電腦螢幕上。技術人員輸入這個驗證碼之後，用戶支付寶賬號中的餘額555元錢立即被轉走了，此外，賬戶變動的短信提示也被遮罩，用戶手機螢幕上沒有出現(xiàn)任何提示資訊。

　　【同期】手機安全專家諸葛建偉

　　這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下，偷偷地把你的錢轉走。

　　【正文】

　　專家警示，這種利用手機作業(yè)系統(tǒng)安全漏洞，來攻擊用戶手機、通過支付寶等第三方支付平臺盜刷銀行卡的技術並不高深，一般的網路攻擊者，只要跟蹤到一些已公開的安全漏洞，或者通過地下産業(yè)鏈購買到相關的攻擊程式和木馬程式，便可以完成對支付寶賬號的攻擊，盜走用戶銀行卡資金。

　　研究人員接下來還擴大了研究範圍，結果發(fā)現(xiàn)市場上的幾款手機都存在同類安全漏洞。

　　【同期】手機安全專家諸葛建偉

　　除小米2 機型外，像三星的GalaxyS4、谷歌的Nexus4以及華為、聯(lián)想的(品牌的)一些機型，也都同樣存在著這樣的ROOT提權安全漏洞，也就是能夠讓攻擊者獲取手機最高許可權的一個漏洞。

　　【正文】

　　記者注意到，專家分析測試存在系統(tǒng)安全漏洞的這些手機，分別安裝了市場主流的幾款手機安全軟體，然而，當專業(yè)技術人員利用這種系統(tǒng)安全漏洞進行支付寶轉賬攻擊測試時，這些安全軟體似乎並沒有表現(xiàn)出安全防護作用。

　　【同期】手機安全專家諸葛建偉

　　這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權漏洞，進行進一步的攻擊，完全遮罩掉360手機衛(wèi)士的運作，從而讓它失效，我們還進一步分析發(fā)現(xiàn)，這種攻擊模式，對像騰訊手機管家這樣的一些市場上主流的手機安全軟體同樣有效，同樣可以讓它們失去保護手機的效果。

　　【正文】

　　專家進一步分析測試後還發(fā)現(xiàn)，這種安卓系統(tǒng)安全漏洞，使攻擊者不但可以隱蔽地從網上通過支付寶等第三方支付平臺，盜刷銀行卡，而且還可以在達成攻擊目的後，完全擦除攻擊痕跡，相當於可以來無影、去無蹤地盜刷用戶銀行卡。

　　【同期】手機安全專家諸葛建偉

　　他在進行一個惡意轉賬之後，他可以徹底地把木馬程式和所有的一些日誌都進行一個擦除。這樣的話，即使你進行了一個報案，你把這個手機交給了警方，警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個線索。

　　【主持人】

　　【正文】

　　手機作業(yè)系統(tǒng)是手機所有應用程式運作的基礎，相當於手機的大腦。網路安全國家權威研究機構的專家向記者透露，安卓作業(yè)系統(tǒng)安全漏洞的客觀存在，給攻擊手機打開了方便之門，使支付寶等移動支付應用面臨嚴重的安全威脅。

　　【同期】網路安全應急技術國家工程實驗室主任杜躍進博士

　　移動支付是有一整套的方法來保證你的安全，但是一個安全的環(huán)境如果都沒有的話，就讓你的各種各樣的安全保障都受到很嚴重的威脅了。

　　【正文】

　　記者了解到，手機作業(yè)系統(tǒng)的構建和完善無法一勞永逸，時時都存在防禦與攻擊的博弈。但專家指出對系統(tǒng)安全漏洞及時修補，提升安全等級，是手機作業(yè)系統(tǒng)廠商無法推卸的責任。

　　中國人民銀行《非金融機構支付服務管理辦法》第三十二條規(guī)定：支付機構應當具備必要的技術手段，確保支付業(yè)務的安全性。也就是説，支付寶等第三方支付廠商無法回避其確保應用軟體安全的義務和責任。而中國人民銀行《非金融機構支付服務業(yè)務系統(tǒng)檢測認證管理規(guī)定》和《非金融機構支付服務業(yè)務系統(tǒng)技術標準符合性和安全性檢測規(guī)範——網路支付部分》，明確要求對用戶輸入的賬戶和密碼等“客戶端鑒別資訊安全”進行檢測，如果發(fā)現(xiàn)其存在賬戶名稱、密碼等敏感數(shù)據(jù)的洩露，就將被劃定為存在嚴重性問題，這樣，該第三方支付平臺的整個業(yè)務系統(tǒng)的檢測結果就將被判定為“不符合”規(guī)範。

　　【同期】網路安全應急技術國家工程實驗室主任杜躍進博士

　　這個就好像是我是一家傳統(tǒng)的銀行，我給你提供銀行服務，我允許你用我提供給你的工具來做銀行的業(yè)務操作，結果我給你提供的工具出問題了。出問題是被別人利用，然後損害到你的利益了，從經營方這個的角度自己來説確實是有責任的。

　　【正文】

　　專家研究分析和測試後發(fā)現(xiàn)，攻擊者之所以能獲取手機用戶的支付寶賬號和密碼等重要的認證資訊，恰恰就是因為他能夠對支付寶應用程式進行插樁，植入惡意程式片段，對用戶輸入進行監(jiān)控。

　　【同期】手機安全專家諸葛建偉

　　支付寶應用由於缺乏一些對抗逆向分析的機制，以及並沒有對修改後的支付寶應用進行一個驗證，就使得被修改後的支付寶應用還可以像原來一樣去連接伺服器，來完成登錄和轉賬的操作。

　　【正文】

　　記者隨後就支付寶應用程式被插樁惡意程式片段的安全防範問題，對支付寶方面進行了電話採訪。

　　【同期】支付寶 018號客服

　　記者：你們能不能發(fā)現(xiàn)，發(fā)現(xiàn)用戶手機裏的支付寶軟體被人做了手腳？

　　客服：可以的。你剛剛不是把賬號告訴我，我在這邊查詢到了的嘛。

　　記者：那就只有用戶告訴你了，才能發(fā)現(xiàn)，是嗎？

　　對啊。

　　記者：那你們?yōu)槭颤N不能主動去提示用戶呢？

　　我們是神仙啊！

　　【正文】

　　在複雜多變的網路環(huán)境下，支付寶等第三方支付平臺安全事件發(fā)生概率並不低。據(jù)2011年中國人民銀行公佈的數(shù)據(jù)顯示，我國網銀安全事件的發(fā)生概率僅為百萬分之一，然而，截至目前，支付寶聲稱其風險概率為十萬分之一。

　　【同期】支付寶公司技術人員

　　風險發(fā)生率應該在十萬分之一左右，那這個過程中，我們沒辦法去擔保百分之一百、所有用戶的支付寶全部是安全的。

　　【正文】

　　記者調查發(fā)現(xiàn)，用戶銀行卡被通過支付寶等第三方支付平臺盜刷後，除了向支付寶等第三方支付平臺索賠外，只有等到警方破案後追索贓款來挽回損失。公開報道顯示，向第三方支付平臺索賠，受害者很難個個如償所願，有用戶支付寶被盜5萬元，但支付寶拒絕賠償；而記者從警方了解到，即便銀行卡盜刷案順利告破，受害者要想拿回被盜的資金，也不是件簡單的事情。

　　【同期】江蘇省揚州市杭集派出所教導員

　　等犯罪嫌疑人到案以後，隨後我們根據(jù)相關的法律法規(guī)規(guī)定，跟著這個案件一起到檢察院、法院，提起公訴以後，才會附帶民事賠償。

　　【正文】

　　警方透露，隨著移動網際網路普及，涉及移動支付等方面的網路安全問題越來越突出。要降低移動支付給用戶帶來的安全威脅，避免用戶損失，除強化應用軟體等廠商的安全責任和義務外，採取事先防範措施已刻不容緩。

　　專家提醒，用戶儘量避免使用免費又不需要密碼的wifi，同時也要留心不要掉入名稱相近的釣魚wifi網路陷阱。平常最好關閉手機wifi自動連接功能，以免自動掃描並連接上不設密碼的釣魚wifi網路。此外，可用兩部手機，一部用來上網登錄支付寶等第三方平臺刷卡操作，而另一部手機的號碼，則專用於收取手機銀行或者第三方支付平臺的驗證碼，以增加網路攻擊者獲取個人隱私資訊的難度，降低銀行卡被盜刷風險。

　　【演播室】

　　專家説，在現(xiàn)在網際網路的時代，面對各種針對網際網路的安全問題，沒有一勞永逸的辦法，還是説支付寶等第三方平臺，他們?yōu)榱擞脩舻馁Y金和資訊安全，也設置了多道門檻，密碼、短信驗證碼等等都是有效的安全屏障，但是隨著不法分子盜取用戶資訊的手段越來越高明，現(xiàn)有的安全防範措施也亟待更新升級，才能更有效地保護好用戶的資金安全，但是遺憾的是，從目前我們調查的情況來看，網際網路支付和移動支付等第三平臺的安全防護手段還不足以防範不法分子的攻擊，而這無疑是給用戶留下了巨大的安全隱患。好，感謝收看《每週品質報告》，下周同一時間再見。