小米等手機被曝存漏洞 銀行卡及支付寶賬戶(hù)易現金盜取

      近日，央視《每周質(zhì)量報告》報道了移動(dòng)支付存在的諸多安全隱患。隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的發(fā)展與智能手機的普及，第三方支付規模日益擴大。而由于手機系統存在的固有漏洞，使攻擊者通過(guò)建立公共WIFI、植入木馬程序的方式獲取用戶(hù)手機隱私以及賬戶(hù)信息，實(shí)現銀行卡與支付寶賬戶(hù)中現金盜取。小米、華為、谷歌等部分機型存在安全漏洞，在遭遇攻擊時(shí)，手機上的安全軟件完全失效。專(zhuān)家建議，為預防銀行卡盜耍的事情發(fā)生，應避免連接無(wú)密碼的公共WIFI。
　　
　　小米2、聯(lián)想等機型被曝存安全漏洞
　　
　　按照支付寶以及支付平臺現有的保護措施，用戶(hù)在具有賬號、登錄密碼、支付密碼、短信驗證碼四道防線(xiàn)才能通過(guò)第三方支付平臺實(shí)現消費轉賬，并且每筆消費都會(huì )銀行賬戶(hù)變動(dòng)短信進(jìn)行提示。那么數道防線(xiàn)下，不法分子又是如何盜刷銀行卡的呢？
　　
　　據央視《每周質(zhì)量報告》報道，北京市從事研究第三方支付的獨立機構將近年來(lái)通過(guò)支付寶盜耍銀行卡的案例進(jìn)行匯總分析指出，部分案例是由于用戶(hù)個(gè)人不慎，泄露個(gè)人信息所致。如被人復制身份證補辦手機卡，導致銀行卡被盜刷。而相當部分案例是用戶(hù)被動(dòng)情況下由于網(wǎng)絡(luò )環(huán)境不安全導致用戶(hù)銀行卡資金被盜。網(wǎng)絡(luò )安全專(zhuān)家萬(wàn)濤表示，被動(dòng)的情況如去咖啡館等公眾場(chǎng)所鏈接WIFI，導致手機被控制。
　　
　　清華大學(xué)副研究員、國家重大專(zhuān)項課題《Linux/Android操作系統安全漏洞檢測》研究小組負責人諸葛建偉表示，針對存在安全漏洞的手機，攻擊者會(huì )設置一個(gè)公共的釣魚(yú)WIFI，通過(guò)去配置一臺無(wú)線(xiàn)路由器，把它作為用戶(hù)手機上網(wǎng)的中間人共計的節點(diǎn)。如果用戶(hù)手機連入這樣的公共WIFI中，用戶(hù)的上網(wǎng)流量就會(huì )被劫持到攻擊者指定的一個(gè)筆記本電腦或者PC上。一旦手機上網(wǎng)用戶(hù)的數據流被攻擊者劫持，用戶(hù)點(diǎn)開(kāi)的任何網(wǎng)頁(yè)就有可能被攻擊者插入惡意攻擊程序，并利用手機固有的漏洞植入新的木馬程序，幫助攻擊者獲得手機的完全控制權，從而讀取手機存儲的手機用戶(hù)信息，控制手機安裝的應用。此外，獲得控制權后還能將驗證短信完全屏蔽，十七形同虛設，從而實(shí)現惡意轉賬。
　　
　　經(jīng)過(guò)研究人員調查發(fā)現，小米2、三星Galaxy S4、谷歌Nexus4以及華為、聯(lián)想部分機型存在ROOT提權安全漏洞即能讓攻擊者獲取手機最高權限的漏洞。
　　
　　手機系統漏洞致安全手機軟件失效
　　
　　在這些被調查的手機中，全部都安裝了國內主流的手機安全軟件。根據央視報道，當專(zhuān)業(yè)技術(shù)人員利用系統安全漏洞進(jìn)行支付寶攻擊轉賬測試時(shí)，手機上安裝的安全軟件并沒(méi)有做出安全防護措施。
　　
　　對此，諸葛建偉表示，這種攻擊模式組合使用瀏覽器的漏洞和本地Root提權漏洞，進(jìn)行進(jìn)一步攻擊，完全屏蔽掉360手機衛士的運行，從而使其失效。并且該種攻擊模式，使騰訊手機管家等市場(chǎng)主流手機安全軟件同樣失去保護手機的作用。
　　
　　避免鏈接公共WIFI防銀行卡盜刷
　　
　　中國人民銀行《非金融機構支付服務(wù)管理辦法》規定，支付機構應當具備必要的技術(shù)手段，確保支付業(yè)務(wù)的安全性，支付寶等第三方支付機構廠(chǎng)商無(wú)法回避其確保安全的義務(wù)和責任
　　
　　隨著(zhù)移動(dòng)互聯(lián)網(wǎng)普及，涉及移動(dòng)支付方面的網(wǎng)絡(luò )安全問(wèn)題越來(lái)越突出，要降低移動(dòng)支付給用戶(hù)帶來(lái)的移動(dòng)安全隱患，避免用戶(hù)損失，除強化應用軟件等廠(chǎng)商的企業(yè)責任外，采取事先防范措施顯得尤為關(guān)鍵。
　　
　　對于愈來(lái)愈猖獗的手機WIFI盜刷銀行卡案件，專(zhuān)家建議，用戶(hù)盡量避免使用免費又不需要密碼的WIFI，同時(shí)要留心不要掉入名稱(chēng)相近的釣魚(yú)WIFI網(wǎng)站，平時(shí)最好關(guān)閉手機WIFI自動(dòng)連接功能，避免自動(dòng)掃描并連接上不設密碼的WIFI釣魚(yú)網(wǎng)站。