手機看新聞
分享到人人
分享到QQ空間導語:央視《每周質量報告》今日播出節目“移動支付的隱憂”,關注手機支付的安全性問題,以下為節目文字實錄:
【演播室】
共同打造高質量的生活,歡迎收看《每周質量報告》。就在不久前,有機構發布了這樣一組統計數據,2013年我國的第三方支付市場規模達到16萬億元,其中互聯網支付的總計金額已經接近9萬億元,比上一年增加了30.04%﹔而隨著移動互聯網的不斷普及,移動支付的增加更加迅速,2013年移動支付的金額已經超過了1萬億元,比上一年增長了556.75%。正是因為有了如此驚人的發展速度,網絡支付和移動支付的安全問題就更加值得我們關注了,而在調查當中我們發現,現在網絡支付和移動支付的安全性還真是沒有辦法讓消費者完全放心。
【正文】
近一段時間,記者接連收到手機用戶爆料,其銀行卡存款突然不翼而飛。一名福建用戶稱,銀行卡被人從網上利用支付寶、網易寶等第三方支付方式盜刷了6筆2000元錢。
【同期】電話採訪福建泉州手機用戶
記者:具體什麼時間錢被盜走的?
就是4月15號10點。
【正文】
無獨有偶,江蘇省揚州市警方向記者披露的一起銀行卡盜刷案,當事人銀行卡被盜刷6萬多元。
【同期】江蘇省揚州市公安局廣陵分局杭集派出所教導員朱凱
1月25號到26號期間,他的一張農業銀行的銀行卡,被通過這些網上支付平台,被不明身份的人,多次盜刷,總值人民幣是6萬余元。
【正文】
警方介紹,蹊蹺的是,在銀行卡被盜刷之前,當事人的銀行卡以及保障網銀安全的U盾、密碼等都沒有丟失過,更為奇怪的問題是,在整個盜刷過程中,當事人和銀行卡綁定的手機也沒有顯示出賬戶變化的提醒短信,直到當事人自己刷卡消費的時候,才發現銀行卡被盜刷了。
警方調查發現,被盜刷的6萬多元錢,大多用於充話費、購買游戲點卡等網絡消費。
按照支付寶等第三方支付平台現有的安全防范措施,隻有同時掌握賬號、登錄密碼、支付密碼以及短信驗証碼這四道安全防護密匙,才有可能從網上通過第三方支付平台刷卡轉賬。而且,每筆刷卡消費或轉賬,銀行也都會給定制了短信提示服務功能的用戶手機,下發賬戶變動提示短信。
那麼,到底是誰悄無聲息地盜刷了別人的銀行卡呢?
北京的一家專門從事網絡安全研究的獨立第三方機構,對近年來銀行卡被通過支付寶盜刷的新聞報道,進行統計分析后發現,部分案例中,因為用戶個人不慎,泄露了隱私信息,比如被人用復制身份証補辦了手機卡,最終導致銀行卡被盜刷。而另外相當一部分的案例,則都是用戶被動地因為網絡不安全的原因,導致銀行卡資金被盜。
【同期】網絡安全專家 萬濤
被動的行為,就是說你就去上一個Wifi,你只是去咖啡館喝杯東西,在那兒辦辦公,正常去使用,你就中了招,你訪問的都是正常的網站,開的都是正常的app,在這種情況下你的手機被控制。
【正文】
智能手機主要有蘋果ios系統和安卓系統,目前,由於安卓操作系統的開放性,一旦暴露出安全漏統,對用戶信息安全危害也就更大。那麼,這種手機操作系統是否存在安全漏洞,不法分子又是否能夠利用這些漏洞入侵用戶手機,隱秘地通過支付寶等第三方支付平台盜刷用戶銀行卡呢?
專家經過仔細研究后發現,一些智能手機,目前的確存在系統安全漏洞,足以對用戶手機安全構成嚴重威脅。
諸葛建偉:清華大學副研究員、國家重大專項課題之《Linux/Android操作系統安全漏洞檢測》研究小組負責人。
【同期】手機安全專家諸葛建偉
那我們現在已經拿到用戶的這款小米2手機,通過我們的技術分析,我們發現其中存在比較多的安全漏洞。
【正文】
專業技術人員向記者再現了利用這種手機操作系統安全漏洞,對手機發起攻擊,隱秘盜刷用戶銀行卡的完整過程。
【同期】手機安全專家諸葛建偉
攻擊者會設置一個公共的釣魚wifi,通過去配置這樣的一款無線路由器,去把它作為用戶手機上網的,中間人攻擊的一個節點。那如果用戶為了省流量,用他的手機連入到這樣的一個公共Wifi裡,用戶的上網流量就會被劫持到攻擊者指定的一個筆記本電腦或者是PC上。
【正文】
專家介紹說,一旦手機用戶的上網數據流被攻擊者劫持,用戶點開的任何一個網頁,實際上都可能被攻擊者暗地裡插入了惡意攻擊程序,它會利用手機瀏覽器的安全漏洞,接著在用戶手機中自動植入新的木馬程序。而這種木馬程序又會進一步利用手機操作系統內核中存在的ROOT提權漏洞,這種漏洞會被用來獲取原本屬於系統自身才能擁有的最高權限,這就意味著攻擊者由此獲得了手機的完全控制權。
【同期】手機安全專家諸葛建偉
也就是說,他可以去讀取手機裡面存儲的所有的用戶的一個隱私信息,以及可以去控制手機上所安裝的任何的一個應用(程序)。
【正文】
記者注意到,當用戶在手機上輸入支付寶賬號和密碼的時候,這些極其重要的賬戶認証信息幾乎同時暴露在攻擊者的電腦屏幕上。
按照支付寶的流程設計,單筆付款金額達到200元,必須經過短信驗証碼確認后,才能完成支付操作。然而,專家分析發現,攻擊者獲得手機完全控制權后,短信驗証碼的安全防范作用也就相當於形同虛設。
【同期】手機安全專家諸葛建偉
同時他還可以利用手機上的木馬程序,對支付寶發給用戶手機的一個驗証碼來進行攔截。
【正文】
記者看到,當技術人員使用剛剛獲得的支付寶賬號和密碼發起了轉賬555元的操作后,支付寶平台原本下發給用戶手機的短信驗証碼,在用戶手機屏幕上並沒有出現,反而出現在了攻擊者的電腦屏幕上。技術人員輸入這個驗証碼之后,用戶支付寶賬號中的余額555元錢立即被轉走了,此外,賬戶變動的短信提示也被屏蔽,用戶手機屏幕上沒有出現任何提示信息。
【同期】手機安全專家諸葛建偉
這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下,偷偷地把你的錢轉走。
【正文】
專家警示,這種利用手機操作系統安全漏洞,來攻擊用戶手機、通過支付寶等第三方支付平台盜刷銀行卡的技術並不高深,一般的網絡攻擊者,隻要跟蹤到一些已公開的安全漏洞,或者通過地下產業鏈購買到相關的攻擊程序和木馬程序,便可以完成對支付寶賬號的攻擊,盜走用戶銀行卡資金。
研究人員接下來還擴大了研究范圍,結果發現市場上的幾款手機都存在同類安全漏洞。
【同期】手機安全專家諸葛建偉
除小米2 機型外,像三星的Galaxy S4、谷歌的Nexus4以及華為、聯想的(品牌的)一些機型,也都同樣存在著這樣的ROOT提權安全漏洞,也就是能夠讓攻擊者獲取手機最高權限的一個漏洞。
【正文】
記者注意到,專家分析測試存在系統安全漏洞的這些手機,分別安裝了市場主流的幾款手機安全軟件,然而,當專業技術人員利用這種系統安全漏洞進行支付寶轉賬攻擊測試時,這些安全軟件似乎並沒有表現出安全防護作用。
【同期】手機安全專家諸葛建偉
這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權漏洞,進行進一步的攻擊,完全屏蔽掉360手機衛士的運行,從而讓它失效,我們還進一步分析發現,這種攻擊模式,對像騰訊手機管家這樣的一些市場上主流的手機安全軟件同樣有效,同樣可以讓它們失去保護手機的效果。
【正文】
專家進一步分析測試后還發現,這種安卓系統安全漏洞,使攻擊者不但可以隱蔽地從網上通過支付寶等第三方支付平台,盜刷銀行卡,而且還可以在達成攻擊目的后,完全擦除攻擊痕跡,相當於可以來無影、去無蹤地盜刷用戶銀行卡。
【同期】手機安全專家諸葛建偉
他在進行一個惡意轉賬之后,他可以徹底地把木馬程序和所有的一些日志都進行一個擦除。這樣的話,即使你進行了一個報案,你把這個手機交給了警方,警方(目前)也沒有任何的辦法通過舉証分析去找到攻擊者的一個線索。
【主持人】
【正文】
手機操作系統是手機所有應用程序運行的基礎,相當於手機的大腦。網絡安全國家權威研究機構的專家向記者透露,安卓操作系統安全漏洞的客觀存在,給攻擊手機打開了方便之門,使支付寶等移動支付應用面臨嚴重的安全威脅。
【同期】網絡安全應急技術國家工程實驗室主任杜躍進博士
移動支付是有一整套的方法來保証你的安全,但是一個安全的環境如果都沒有的話,就讓你的各種各樣的安全保障都受到很嚴重的威脅了。
【正文】
記者了解到,手機操作系統的構建和完善無法一勞永逸,時時都存在防御與攻擊的博弈。但專家指出對系統安全漏洞及時修補,提升安全等級,是手機操作系統廠商無法推卸的責任。
中國人民銀行《非金融機構支付服務管理辦法》第三十二條規定:支付機構應當具備必要的技術手段,確保支付業務的安全性。也就是說,支付寶等第三方支付廠商無法回避其確保應用軟件安全的義務和責任。而中國人民銀行《非金融機構支付服務業務系統檢測認証管理規定》和《非金融機構支付服務業務系統技術標准符合性和安全性檢測規范——網絡支付部分》,明確要求對用戶輸入的賬戶和密碼等“客戶端鑒別信息安全”進行檢測,如果發現其存在賬戶名稱、密碼等敏感數據的泄露,就將被劃定為存在嚴重性問題,這樣,該第三方支付平台的整個業務系統的檢測結果就將被判定為“不符合”規范。
【同期】網絡安全應急技術國家工程實驗室主任杜躍進博士
這個就好像是我是一家傳統的銀行,我給你提供銀行服務,我允許你用我提供給你的工具來做銀行的業務操作,結果我給你提供的工具出問題了。出問題是被別人利用,然后損害到你的利益了,從經營方這個的角度自己來說確實是有責任的。
【正文】
專家研究分析和測試后發現,攻擊者之所以能獲取手機用戶的支付寶賬號和密碼等重要的認証信息,恰恰就是因為他能夠對支付寶應用程序進行插樁,植入惡意程序片段,對用戶輸入進行監控。
【同期】手機安全專家諸葛建偉
支付寶應用由於缺乏一些對抗逆向分析的機制,以及並沒有對修改后的支付寶應用進行一個驗証,就使得被修改后的支付寶應用還可以像原來一樣去連接服務器,來完成登錄和轉賬的操作。
【正文】
記者隨后就支付寶應用程序被插樁惡意程序片段的安全防范問題,對支付寶方面進行了電話採訪。
【同期】支付寶 018號客服
記者:你們能不能發現,發現用戶手機裡的支付寶軟件被人做了手腳?
客服:可以的。你剛剛不是把賬號告訴我,我在這邊查詢到了的嘛。
記者:那就隻有用戶告訴你了,才能發現,是嗎?
對啊。
記者:那你們為什麼不能主動去提示用戶呢?
我們是神仙啊!
【正文】
在復雜多變的網絡環境下,支付寶等第三方支付平台安全事件發生概率並不低。據2011年中國人民銀行公布的數據顯示,我國網銀安全事件的發生概率僅為百萬分之一,然而,截至目前,支付寶聲稱其風險概率為十萬分之一。
【同期】支付寶公司技術人員
風險發生率應該在十萬分之一左右,那這個過程中,我們沒辦法去擔保百分之一百、所有用戶的支付寶全部是安全的。
【正文】
記者調查發現,用戶銀行卡被通過支付寶等第三方支付平台盜刷后,除了向支付寶等第三方支付平台索賠外,隻有等到警方破案后追索贓款來挽回損失。公開報道顯示,向第三方支付平台索賠,受害者很難個個如償所願,有用戶支付寶被盜5萬元,但支付寶拒絕賠償﹔而記者從警方了解到,即便銀行卡盜刷案順利告破,受害者要想拿回被盜的資金,也不是件簡單的事情。
【同期】江蘇省揚州市杭集派出所教導員
等犯罪嫌疑人到案以后,隨后我們根據相關的法律法規規定,跟著這個案件一起到檢察院、法院,提起公訴以后,才會附帶民事賠償。
【正文】
警方透露,隨著移動互聯網普及,涉及移動支付等方面的網絡安全問題越來越突出。要降低移動支付給用戶帶來的安全威脅,避免用戶損失,除強化應用軟件等廠商的安全責任和義務外,採取事先防范措施已刻不容緩。
專家提醒,用戶盡量避免使用免費又不需要密碼的wifi,同時也要留心不要掉入名稱相近的釣魚wifi網絡陷阱。平常最好關閉手機wifi自動連接功能,以免自動掃描並連接上不設密碼的釣魚wifi網絡。此外,可用兩部手機,一部用來上網登錄支付寶等第三方平台刷卡操作,而另一部手機的號碼,則專用於收取手機銀行或者第三方支付平台的驗証碼,以增加網絡攻擊者獲取個人隱私信息的難度,降低銀行卡被盜刷風險。
【演播室】
專家說,在現在互聯網的時代,面對各種針對互聯網的安全問題,沒有一勞永逸的辦法,還是說支付寶等第三方平台,他們為了用戶的資金和信息安全,也設置了多道門檻,密碼、短信驗証碼等等都是有效的安全屏障,但是隨著不法分子盜取用戶信息的手段越來越高明,現有的安全防范措施也亟待更新升級,才能更有效地保護好用戶的資金安全,但是遺憾的是,從目前我們調查的情況來看,互聯網支付和移動支付等第三平台的安全防護手段還不足以防范不法分子的攻擊,而這無疑是給用戶留下了巨大的安全隱患。好,感謝收看《每周質量報告》,下周同一時間再見。
恭喜你,發表成功!
!
