原標(biāo)題:央視:品牌手機存安全漏洞 成移動支付的隱憂
【演播室】
共同打造高品質(zhì)的生活�����,歡迎收看《每週品質(zhì)報告》�。就在不久前,有機構(gòu)發(fā)佈了這樣一組統(tǒng)計數(shù)據(jù)��,2013年我國的第三方支付市場規(guī)模達(dá)到16萬億元�����,其中網(wǎng)際網(wǎng)路支付的總計金額已經(jīng)接近9萬億元���,比上一年增加了30.04%��;而隨著移動網(wǎng)際網(wǎng)路的不斷普及�����,移動支付的增加更加迅速��,2013年移動支付的金額已經(jīng)超過了1萬億元��,比上一年增長了556.75%���。正是因為有了如此驚人的發(fā)展速度�,網(wǎng)路支付和移動支付的安全問題就更加值得我們關(guān)注了��,而在調(diào)查當(dāng)中我們發(fā)現(xiàn)����,現(xiàn)在網(wǎng)路支付和移動支付的安全性還真是沒有辦法讓消費者完全放心。
【正文】
近一段時間�,記者接連收到手機用戶爆料,其銀行卡存款突然不翼而飛�����。一名福建用戶稱�,銀行卡被人從網(wǎng)上利用支付寶、網(wǎng)易寶等第三方支付方式盜刷了6筆2000元錢�。
【同期】電話採訪福建泉州手機用戶
記者:具體什麼時間錢被盜走的?
就是4月15號10點���。
【正文】
無獨有偶,江蘇省揚州市警方向記者披露的一起銀行卡盜刷案�,當(dāng)事人銀行卡被盜刷6萬多元。
【同期】江蘇省揚州市公安局廣陵分局杭集派出所教導(dǎo)員朱凱
1月25號到26號期間��,他的一張農(nóng)業(yè)銀行的銀行卡,被通過這些網(wǎng)上支付平臺��,被不明身份的人��,多次盜刷�,總值人民幣是6萬餘元。
【正文】
警方介紹����,蹊蹺的是,在銀行卡被盜刷之前��,當(dāng)事人的銀行卡以及保障網(wǎng)銀安全的U盾����、密碼等都沒有丟失過,更為奇怪的問題是�����,在整個盜刷過程中����,當(dāng)事人和銀行卡綁定的手機也沒有顯示出賬戶變化的提醒短信,直到當(dāng)事人自己刷卡消費的時候�,才發(fā)現(xiàn)銀行卡被盜刷了�。
警方調(diào)查發(fā)現(xiàn)��,被盜刷的6萬多元錢���,大多用於充話費���、購買遊戲點卡等網(wǎng)路消費。
按照支付寶等第三方支付平臺現(xiàn)有的安全防範(fàn)措施�����,只有同時掌握賬號����、登錄密碼、支付密碼以及短信驗證碼這四道安全防護(hù)密匙����,才有可能從網(wǎng)上通過第三方支付平臺刷卡轉(zhuǎn)賬。而且���,每筆刷卡消費或轉(zhuǎn)賬���,銀行也都會給定制了短信提示服務(wù)功能的用戶手機,下發(fā)賬戶變動提示短信�。
那麼,到底是誰悄無聲息地盜刷了別人的銀行卡呢��?
北京的一家專門從事網(wǎng)路安全研究的獨立第三方機構(gòu)����,對近年來銀行卡被通過支付寶盜刷的新聞報道,進(jìn)行統(tǒng)計分析後發(fā)現(xiàn)���,部分案例中���,因為用戶個人不慎,洩露了隱私資訊�����,比如被人用複製身份證補辦了手機卡���,最終導(dǎo)致銀行卡被盜刷�����。而另外相當(dāng)一部分的案例���,則都是用戶被動地因為網(wǎng)路不安全的原因�����,導(dǎo)致銀行卡資金被盜��。
【同期】網(wǎng)路安全專家 萬濤
被動的行為��,就是説你就去上一個Wifi�����,你只是去咖啡館喝杯東西��,在那兒辦辦公�����,正常去使用����,你就中了招��,你訪問的都是正常的網(wǎng)站,開的都是正常的app��,在這種情況下你的手機被控制��。
【正文】
智慧手機主要有蘋果ios系統(tǒng)和安卓系統(tǒng)�,目前����,由於安卓作業(yè)系統(tǒng)的開放性,一旦暴露出安全漏統(tǒng)�����,對用戶資訊安全危害也就更大���。那麼���,這種手機作業(yè)系統(tǒng)是否存在安全漏洞,不法分子又是否能夠利用這些漏洞入侵用戶手機��,隱秘地通過支付寶等第三方支付平臺盜刷用戶銀行卡呢�����?
專家經(jīng)過仔細(xì)研究後發(fā)現(xiàn),一些智慧手機����,目前的確存在系統(tǒng)安全漏洞,足以對用戶手機安全構(gòu)成嚴(yán)重威脅����。
諸葛建偉:清華大學(xué)副研究員、國家重大專項課題之《Linux/Android作業(yè)系統(tǒng)安全漏洞檢測》研究小組負(fù)責(zé)人����。
【同期】手機安全專家諸葛建偉
那我們現(xiàn)在已經(jīng)拿到用戶的這款小米2手機,通過我們的技術(shù)分析�����,我們發(fā)現(xiàn)其中存在比較多的安全漏洞����。
【正文】
專業(yè)技術(shù)人員向記者再現(xiàn)了利用這種手機作業(yè)系統(tǒng)安全漏洞,對手機發(fā)起攻擊��,隱秘盜刷用戶銀行卡的完整過程���。
【同期】手機安全專家諸葛建偉
攻擊者會設(shè)置一個公共的釣魚wifi�����,通過去配置這樣的一款無線路由器�����,去把它作為用戶手機上網(wǎng)的��,中間人攻擊的一個節(jié)點�。那如果用戶為了省流量����,用他的手機連入到這樣的一個公共Wifi裏,用戶的上網(wǎng)流量就會被劫持到攻擊者指定的一個筆記型電腦或者是PC上�����。
【正文】
專家介紹説����,一旦手機用戶的上網(wǎng)數(shù)據(jù)流被攻擊者劫持,用戶點開的任何一個網(wǎng)頁�,實際上都可能被攻擊者暗地裏插入了惡意攻擊程式,它會利用手機瀏覽器的安全漏洞�,接著在用戶手機中自動植入新的木馬程式����。而這種木馬程式又會進(jìn)一步利用手機作業(yè)系統(tǒng)內(nèi)核中存在的ROOT提權(quán)漏洞����,這種漏洞會被用來獲取原本屬於系統(tǒng)自身才能擁有的最高許可權(quán),這就意味著攻擊者由此獲得了手機的完全控制權(quán)����。
【同期】手機安全專家諸葛建偉
也就是説,他可以去讀取手機裏面存儲的所有的用戶的一個隱私資訊��,以及可以去控制手機上所安裝的任何的一個應(yīng)用(程式)��。
【正文】
記者注意到����,當(dāng)用戶在手機上輸入支付寶賬號和密碼的時候,這些極其重要的賬戶認(rèn)證資訊幾乎同時暴露在攻擊者的電腦螢?zāi)簧稀?/p>
按照支付寶的流程設(shè)計�,單筆付款金額達(dá)到200元,必須經(jīng)過短信驗證碼確認(rèn)後��,才能完成支付操作����。然而��,專家分析發(fā)現(xiàn)�����,攻擊者獲得手機完全控制權(quán)後�,短信驗證碼的安全防範(fàn)作用也就相當(dāng)於形同虛設(shè)��。
【同期】手機安全專家諸葛建偉
同時他還可以利用手機上的木馬程式����,對支付寶發(fā)給用戶手機的一個驗證碼來進(jìn)行攔截���。
【正文】
記者看到�����,當(dāng)技術(shù)人員使用剛剛獲得的支付寶賬號和密碼發(fā)起了轉(zhuǎn)賬555元的操作後����,支付寶平臺原本下發(fā)給用戶手機的短信驗證碼�����,在用戶手機螢?zāi)簧蟻K沒有出現(xiàn),反而出現(xiàn)在了攻擊者的電腦螢?zāi)簧?��。技術(shù)人員輸入這個驗證碼之後��,用戶支付寶賬號中的餘額555元錢立即被轉(zhuǎn)走了����,此外�����,賬戶變動的短信提示也被遮罩����,用戶手機螢?zāi)簧蠜]有出現(xiàn)任何提示資訊。
【同期】手機安全專家諸葛建偉
這種新的攻擊方式是可以讓攻擊者非常從容在用戶完全沒有察覺的這種情況下����,偷偷地把你的錢轉(zhuǎn)走。
【正文】
專家警示���,這種利用手機作業(yè)系統(tǒng)安全漏洞�,來攻擊用戶手機、通過支付寶等第三方支付平臺盜刷銀行卡的技術(shù)並不高深�,一般的網(wǎng)路攻擊者,只要跟蹤到一些已公開的安全漏洞��,或者通過地下産業(yè)鏈購買到相關(guān)的攻擊程式和木馬程式�,便可以完成對支付寶賬號的攻擊,盜走用戶銀行卡資金���。
研究人員接下來還擴(kuò)大了研究範(fàn)圍����,結(jié)果發(fā)現(xiàn)市場上的幾款手機都存在同類安全漏洞��。
【同期】手機安全專家諸葛建偉
除小米2 機型外�,像三星的GalaxyS4、谷歌的Nexus4以及華為�����、聯(lián)想的(品牌的)一些機型�����,也都同樣存在著這樣的ROOT提權(quán)安全漏洞����,也就是能夠讓攻擊者獲取手機最高許可權(quán)的一個漏洞。
【正文】
記者注意到�����,專家分析測試存在系統(tǒng)安全漏洞的這些手機�,分別安裝了市場主流的幾款手機安全軟體,然而�,當(dāng)專業(yè)技術(shù)人員利用這種系統(tǒng)安全漏洞進(jìn)行支付寶轉(zhuǎn)賬攻擊測試時,這些安全軟體似乎並沒有表現(xiàn)出安全防護(hù)作用�。
【同期】手機安全專家諸葛建偉
這種攻擊模式是組合使用瀏覽器的漏洞和本地root提權(quán)漏洞,進(jìn)行進(jìn)一步的攻擊�����,完全遮罩掉360手機衛(wèi)士的運作�����,從而讓它失效�����,我們還進(jìn)一步分析發(fā)現(xiàn)���,這種攻擊模式���,對像騰訊手機管家這樣的一些市場上主流的手機安全軟體同樣有效����,同樣可以讓它們失去保護(hù)手機的效果�。
【正文】
專家進(jìn)一步分析測試後還發(fā)現(xiàn),這種安卓系統(tǒng)安全漏洞��,使攻擊者不但可以隱蔽地從網(wǎng)上通過支付寶等第三方支付平臺����,盜刷銀行卡,而且還可以在達(dá)成攻擊目的後�����,完全擦除攻擊痕跡���,相當(dāng)於可以來無影���、去無蹤地盜刷用戶銀行卡�。
【同期】手機安全專家諸葛建偉
他在進(jìn)行一個惡意轉(zhuǎn)賬之後,他可以徹底地把木馬程式和所有的一些日誌都進(jìn)行一個擦除。這樣的話��,即使你進(jìn)行了一個報案�����,你把這個手機交給了警方�,警方(目前)也沒有任何的辦法通過舉證分析去找到攻擊者的一個線索。
【主持人】
【正文】
手機作業(yè)系統(tǒng)是手機所有應(yīng)用程式運作的基礎(chǔ)��,相當(dāng)於手機的大腦���。網(wǎng)路安全國家權(quán)威研究機構(gòu)的專家向記者透露����,安卓作業(yè)系統(tǒng)安全漏洞的客觀存在�����,給攻擊手機打開了方便之門���,使支付寶等移動支付應(yīng)用面臨嚴(yán)重的安全威脅����。
【同期】網(wǎng)路安全應(yīng)急技術(shù)國家工程實驗室主任杜躍進(jìn)博士
移動支付是有一整套的方法來保證你的安全,但是一個安全的環(huán)境如果都沒有的話�,就讓你的各種各樣的安全保障都受到很嚴(yán)重的威脅了。
【正文】
記者了解到����,手機作業(yè)系統(tǒng)的構(gòu)建和完善無法一勞永逸,時時都存在防禦與攻擊的博弈�。但專家指出對系統(tǒng)安全漏洞及時修補,提升安全等級��,是手機作業(yè)系統(tǒng)廠商無法推卸的責(zé)任���。
中國人民銀行《非金融機構(gòu)支付服務(wù)管理辦法》第三十二條規(guī)定:支付機構(gòu)應(yīng)當(dāng)具備必要的技術(shù)手段�,確保支付業(yè)務(wù)的安全性�����。也就是説���,支付寶等第三方支付廠商無法回避其確保應(yīng)用軟體安全的義務(wù)和責(zé)任�����。而中國人民銀行《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測認(rèn)證管理規(guī)定》和《非金融機構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)技術(shù)標(biāo)準(zhǔn)符合性和安全性檢測規(guī)範(fàn)——網(wǎng)路支付部分》�����,明確要求對用戶輸入的賬戶和密碼等“客戶端鑒別資訊安全”進(jìn)行檢測����,如果發(fā)現(xiàn)其存在賬戶名稱��、密碼等敏感數(shù)據(jù)的洩露���,就將被劃定為存在嚴(yán)重性問題����,這樣����,該第三方支付平臺的整個業(yè)務(wù)系統(tǒng)的檢測結(jié)果就將被判定為“不符合”規(guī)範(fàn)。
【同期】網(wǎng)路安全應(yīng)急技術(shù)國家工程實驗室主任杜躍進(jìn)博士
這個就好像是我是一家傳統(tǒng)的銀行��,我給你提供銀行服務(wù)���,我允許你用我提供給你的工具來做銀行的業(yè)務(wù)操作���,結(jié)果我給你提供的工具出問題了���。出問題是被別人利用,然後損害到你的利益了���,從經(jīng)營方這個的角度自己來説確實是有責(zé)任的���。
【正文】
專家研究分析和測試後發(fā)現(xiàn),攻擊者之所以能獲取手機用戶的支付寶賬號和密碼等重要的認(rèn)證資訊���,恰恰就是因為他能夠?qū)χЦ秾殤?yīng)用程式進(jìn)行插樁�,植入惡意程式片段����,對用戶輸入進(jìn)行監(jiān)控。
【同期】手機安全專家諸葛建偉
支付寶應(yīng)用由於缺乏一些對抗逆向分析的機制�����,以及並沒有對修改後的支付寶應(yīng)用進(jìn)行一個驗證��,就使得被修改後的支付寶應(yīng)用還可以像原來一樣去連接伺服器�����,來完成登錄和轉(zhuǎn)賬的操作。
【正文】
記者隨後就支付寶應(yīng)用程式被插樁惡意程式片段的安全防範(fàn)問題��,對支付寶方面進(jìn)行了電話採訪�����。
【同期】支付寶 018號客服
記者:你們能不能發(fā)現(xiàn)��,發(fā)現(xiàn)用戶手機裏的支付寶軟體被人做了手腳����?
客服:可以的�����。你剛剛不是把賬號告訴我����,我在這邊查詢到了的嘛。
記者:那就只有用戶告訴你了�,才能發(fā)現(xiàn),是嗎�?
對啊。
記者:那你們?yōu)槭颤N不能主動去提示用戶呢���?
我們是神仙?����?!
【正文】
在複雜多變的網(wǎng)路環(huán)境下,支付寶等第三方支付平臺安全事件發(fā)生概率並不低��。據(jù)2011年中國人民銀行公佈的數(shù)據(jù)顯示����,我國網(wǎng)銀安全事件的發(fā)生概率僅為百萬分之一,然而�,截至目前,支付寶聲稱其風(fēng)險概率為十萬分之一�����。
【同期】支付寶公司技術(shù)人員
風(fēng)險發(fā)生率應(yīng)該在十萬分之一左右����,那這個過程中,我們沒辦法去擔(dān)保百分之一百���、所有用戶的支付寶全部是安全的����。
【正文】
記者調(diào)查發(fā)現(xiàn),用戶銀行卡被通過支付寶等第三方支付平臺盜刷後���,除了向支付寶等第三方支付平臺索賠外��,只有等到警方破案後追索贓款來挽回?fù)p失���。公開報道顯示�,向第三方支付平臺索賠,受害者很難個個如償所願�����,有用戶支付寶被盜5萬元�����,但支付寶拒絕賠償��;而記者從警方了解到���,即便銀行卡盜刷案順利告破���,受害者要想拿回被盜的資金�,也不是件簡單的事情����。
【同期】江蘇省揚州市杭集派出所教導(dǎo)員
等犯罪嫌疑人到案以後,隨後我們根據(jù)相關(guān)的法律法規(guī)規(guī)定����,跟著這個案件一起到檢察院、法院��,提起公訴以後���,才會附帶民事賠償����。
【正文】
警方透露���,隨著移動網(wǎng)際網(wǎng)路普及�����,涉及移動支付等方面的網(wǎng)路安全問題越來越突出�����。要降低移動支付給用戶帶來的安全威脅����,避免用戶損失,除強化應(yīng)用軟體等廠商的安全責(zé)任和義務(wù)外��,採取事先防範(fàn)措施已刻不容緩��。
專家提醒����,用戶儘量避免使用免費又不需要密碼的wifi�,同時也要留心不要掉入名稱相近的釣魚wifi網(wǎng)路陷阱。平常最好關(guān)閉手機wifi自動連接功能��,以免自動掃描並連接上不設(shè)密碼的釣魚wifi網(wǎng)路�����。此外��,可用兩部手機,一部用來上網(wǎng)登錄支付寶等第三方平臺刷卡操作�����,而另一部手機的號碼��,則專用於收取手機銀行或者第三方支付平臺的驗證碼����,以增加網(wǎng)路攻擊者獲取個人隱私資訊的難度,降低銀行卡被盜刷風(fēng)險��。
【演播室】
專家説�����,在現(xiàn)在網(wǎng)際網(wǎng)路的時代���,面對各種針對網(wǎng)際網(wǎng)路的安全問題����,沒有一勞永逸的辦法��,還是説支付寶等第三方平臺�,他們?yōu)榱擞脩舻馁Y金和資訊安全���,也設(shè)置了多道門檻,密碼���、短信驗證碼等等都是有效的安全屏障���,但是隨著不法分子盜取用戶資訊的手段越來越高明,現(xiàn)有的安全防範(fàn)措施也亟待更新升級�����,才能更有效地保護(hù)好用戶的資金安全���,但是遺憾的是����,從目前我們調(diào)查的情況來看����,網(wǎng)際網(wǎng)路支付和移動支付等第三平臺的安全防護(hù)手段還不足以防範(fàn)不法分子的攻擊�����,而這無疑是給用戶留下了巨大的安全隱患。好�,感謝收看《每週品質(zhì)報告》,下周同一時間再見����。
