手機支付存漏洞盜款無痕跡

http://paper.wenweipo.com [2014-06-16] 我要評論

放大圖片

■使用安卓系統的手機在登入支付寶。網上圖片

安卓用戶接連被刷卡用支付寶平台需警惕

香港文匯報訊據央視《每周質量報告》節目稱，隨着內地移動互聯網的不斷普及，利用手機等移動設備進行支付交易的數量與日俱增。據專家表示，使用裝有安卓（Android）系統的移動設備登入支付寶等第三方支付平台，由於安全漏洞，可能會被盜刷銀行卡，造成財產損失。用戶甚至不會收到銀行提醒簡訊。而攻擊者更會擦除「作案」痕跡，令警方無從追查。

近一段時間，接連收有手機用戶報案，稱其銀行卡存款突然不翼而飛。警方介紹，這些用戶的銀行卡以及保障網銀安全的軟件、密碼都沒有丟失過，更為奇怪的是，在整個盜刷過程中，當事人也沒有收到銀行發送的賬戶變化簡訊。

公共Wi-Fi攻擊植惡意程式

據了解，由於安卓（Android）操作系統的開放性，一旦暴露出安全漏統，便會對用戶信息安全產生危害。北京清華大學專家諸葛建偉表示，攻擊者只要設置一個公共無線網路（Wi-Fi），可在安卓手機用戶使用這個網路時控制手機，透過指定的電腦取得手機最高權限。

諸葛建偉說，攻擊者取得手機最高權限，就可任意植入惡意攻擊程式，當用戶用手機登入支付寶進行消費時，攻擊者就會植入木馬，取得用戶帳號、密碼、支付密碼等資料，同時攔截認證碼，並屏蔽銀行通知刷卡的簡訊。

研究人員發現市場上的幾款手機都存在同類安全漏洞。諸葛建偉稱，除小米2機型外，像三星的Galaxy S4、谷歌的Nexus4等一些機型，也都同樣存在着這樣的安全漏洞。

專家：平時關閉自動連接

專家進一步測試後還發現，這種安卓系統安全漏洞，使攻擊者不但可以隱蔽地盜刷銀行卡，而且還可以在達成攻擊目的後，完全擦除攻擊痕跡。「這樣的話，即使你進行報案，警方也沒有任何的辦法找到攻擊者的線索。」諸葛建偉說。

央視報道稱，支付寶等第三方支付平台安全事件發生概率並不低。截至目前，支付寶聲稱其風險概率為十萬分之一。支付寶公司技術人員表示，「我們沒辦法去擔保所有用戶的支付寶全部是安全的。」

專家提醒，用戶盡量避免使用免費又不需要密碼的Wi-Fi，平常最好關閉手機自動連接功能，以免自動掃描並連接上不設密碼的Wi-Fi網路。

央視引用一份統計數據，內地去年移動支付的金額已經超過1萬億元，增長達556.75%。