支付宝漏洞（图片非原文附图 来源：太平洋电脑网）

导语：央视《每周质量报告》今日播出节目“移动支付的隐忧”，关注手机支付的安全性问题，以下为节目文字实录：

【演播室】

共同打造高质量的生活，欢迎收看《每周质量报告》。就在不久前，有机构发布了这样一组统计数据，2013年我国的第三方支付市场规模达到16万亿元，其中互联网支付的总计金额已经接近9万亿元，比上一年增加了30.04%;而随着移动互联网的不断普及，移动支付的增加更加迅速，2013年移动支付的金额已经超过了1万亿元，比上一年增长了556.75%。正是因为有了如此惊人的发展速度，网络支付和移动支付的安全问题就更加值得我们关注了，而在调查当中我们发现，现在网络支付和移动支付的安全性还真是没有办法让消费者完全放心。

【正文】

近一段时间，记者接连收到手机用户爆料，其银行卡存款突然不翼而飞。一名福建用户称，银行卡被人从网上利用支付宝、网易宝等第三方支付方式盗刷了6笔2000元钱。

【同期】电话采访福建泉州手机用户

记者：具体什么时间钱被盗走的?

就是4月15号10点。

【正文】

无独有偶，江苏省扬州市警方向记者披露的一起银行卡盗刷案，当事人银行卡被盗刷6万多元。

【同期】江苏省扬州市公安局广陵分局杭集派出所教导员朱凯

1月25号到26号期间，他的一张农业银行的银行卡，被通过这些网上支付平台，被不明身份的人，多次盗刷，总值人民币是6万余元。

【正文】

警方介绍，蹊跷的是，在银行卡被盗刷之前，当事人的银行卡以及保障网银安全的U盾、密码等都没有丢失过，更为奇怪的问题是，在整个盗刷过程中，当事人和银行卡绑定的手机也没有显示出账户变化的提醒短信，直到当事人自己刷卡消费的时候，才发现银行卡被盗刷了。

警方调查发现，被盗刷的6万多元钱，大多用于充话费、购买游戏点卡等网络消费。

按照支付宝等第三方支付平台现有的安全防范措施，只有同时掌握账号、登录密码、支付密码以及短信验证码这四道安全防护密匙，才有可能从网上通过第三方支付平台刷卡转账。而且，每笔刷卡消费或转账，银行也都会给定制了短信提示服务功能的用户手机，下发账户变动提示短信。

那么，到底是谁悄无声息地盗刷了别人的银行卡呢?

北京的一家专门从事网络安全研究的独立第三方机构，对近年来银行卡被通过支付宝盗刷的新闻报道，进行统计分析后发现，部分案例中，因为用户个人不慎，泄露了隐私信息，比如被人用复制身份证补办了手机卡，最终导致银行卡被盗刷。而另外相当一部分的案例，则都是用户被动地因为网络不安全的原因，导致银行卡资金被盗。

【同期】网络安全专家 万涛

被动的行为，就是说你就去上一个Wifi，你只是去咖啡馆喝杯东西，在那儿办办公，正常去使用，你就中了招，你访问的都是正常的网站，开的都是正常的App，在这种情况下你的手机被控制。

【正文】

智能手机主要有苹果ios系统和安卓系统，目前，由于安卓操作系统的开放性，一旦暴露出安全漏统，对用户信息安全危害也就更大。那么，这种手机操作系统是否存在安全漏洞，不法分子又是否能够利用这些漏洞入侵用户手机，隐秘地通过支付宝等第三方支付平台盗刷用户银行卡呢?

专家经过仔细研究后发现，一些智能手机，目前的确存在系统安全漏洞，足以对用户手机安全构成严重威胁。

诸葛建伟：清华大学副研究员、国家重大专项课题之《Linux/Android操作系统安全漏洞检测》研究小组负责人。

【同期】手机安全专家诸葛建伟

那我们现在已经拿到用户的这款小米2手机，通过我们的技术分析，我们发现其中存在比较多的安全漏洞。

【正文】

专业技术人员向记者再现了利用这种手机操作系统安全漏洞，对手机发起攻击，隐秘盗刷用户银行卡的完整过程。

【同期】手机安全专家诸葛建伟

攻击者会设置一个公共的钓鱼wifi，通过去配置这样的一款无线路由器，去把它作为用户手机上网的，中间人攻击的一个节点。那如果用户为了省流量，用他的手机连入到这样的一个公共Wifi里，用户的上网流量就会被劫持到攻击者指定的一个笔记本电脑或者是PC上。

【正文】

专家介绍说，一旦手机用户的上网数据流被攻击者劫持，用户点开的任何一个网页，实际上都可能被攻击者暗地里插入了恶意攻击程序，它会利用手机浏览器的安全漏洞，接着在用户手机中自动植入新的木马程序。而这种木马程序又会进一步利用手机操作系统内核中存在的ROOT提权漏洞，这种漏洞会被用来获取原本属于系统自身才能拥有的最高权限，这就意味着攻击者由此获得了手机的完全控制权。

【同期】手机安全专家诸葛建伟

也就是说，他可以去读取手机里面存储的所有的用户的一个隐私信息，以及可以去控制手机上所安装的任何的一个应用(程序)。

【正文】

记者注意到，当用户在手机上输入支付宝账号和密码的时候，这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。

按照支付宝的流程设计，单笔付款金额达到200元，必须经过短信验证码确认后，才能完成支付操作。然而，专家分析发现，攻击者获得手机完全控制权后，短信验证码的安全防范作用也就相当于形同虚设。

【同期】手机安全专家诸葛建伟

同时他还可以利用手机上的木马程序，对支付宝发给用户手机的一个验证码来进行拦截。

【正文】

记者看到，当技术人员使用刚刚获得的支付宝账号和密码发起了转账555元的操作后，支付宝平台原本下发给用户手机的短信验证码，在用户手机屏幕上并没有出现，反而出现在了攻击者的电脑屏幕上。技术人员输入这个验证码之后，用户支付宝账号中的余额555元钱立即被转走了，此外，账户变动的短信提示也被屏蔽，用户手机屏幕上没有出现任何提示信息。

【同期】手机安全专家诸葛建伟

这种新的攻击方式是可以让攻击者非常从容在用户完全没有察觉的这种情况下，偷偷地把你的钱转走。

【正文】

专家警示，这种利用手机操作系统安全漏洞，来攻击用户手机、通过支付宝等第三方支付平台盗刷银行卡的技术并不高深，一般的网络攻击者，只要跟踪到一些已公开的安全漏洞，或者通过地下产业链购买到相关的攻击程序和木马程序，便可以完成对支付宝账号的攻击，盗走用户银行卡资金。

研究人员接下来还扩大了研究范围，结果发现市场上的几款手机都存在同类安全漏洞。

【同期】手机安全专家诸葛建伟

除小米2 机型外，像三星的Galaxy S4、谷歌的Nexus4以及华为、联想的(品牌的)一些机型，也都同样存在着这样的ROOT提权安全漏洞，也就是能够让攻击者获取手机最高权限的一个漏洞。

【正文】

记者注意到，专家分析测试存在系统安全漏洞的这些手机，分别安装了市场主流的几款手机安全软件，然而，当专业技术人员利用这种系统安全漏洞进行支付宝转账攻击测试时，这些安全软件似乎并没有表现出安全防护作用。

【同期】手机安全专家诸葛建伟

这种攻击模式是组合使用浏览器的漏洞和本地root提权漏洞，进行进一步的攻击，完全屏蔽掉360手机卫士的运行，从而让它失效，我们还进一步分析发现，这种攻击模式，对像腾讯手机管家这样的一些市场上主流的手机安全软件同样有效，同样可以让它们失去保护手机的效果。

【正文】

专家进一步分析测试后还发现，这种安卓系统安全漏洞，使攻击者不但可以隐蔽地从网上通过支付宝等第三方支付平台，盗刷银行卡，而且还可以在达成攻击目的后，完全擦除攻击痕迹，相当于可以来无影、去无踪地盗刷用户银行卡。

【同期】手机安全专家诸葛建伟

他在进行一个恶意转账之后，他可以彻底地把木马程序和所有的一些日志都进行一个擦除。这样的话，即使你进行了一个报案，你把这个手机交给了警方，警方(目前)也没有任何的办法通过举证分析去找到攻击者的一个线索。

【主持人】

【正文】

手机操作系统是手机所有应用程序运行的基础，相当于手机的大脑。网络安全国家权威研究机构的专家向记者透露，安卓操作系统安全漏洞的客观存在，给攻击手机打开了方便之门，使支付宝等移动支付应用面临严重的安全威胁。

【同期】网络安全应急技术国家工程实验室主任杜跃进博士

移动支付是有一整套的方法来保证你的安全，但是一个安全的环境如果都没有的话，就让你的各种各样的安全保障都受到很严重的威胁了。

【正文】

记者了解到，手机操作系统的构建和完善无法一劳永逸，时时都存在防御与攻击的博弈。但专家指出对系统安全漏洞及时修补，提升安全等级，是手机操作系统厂商无法推卸的责任。

中国人民银行《非金融机构支付服务管理办法》第三十二条规定：支付机构应当具备必要的技术手段，确保支付业务的安全性。也就是说，支付宝等第三方支付厂商无法回避其确保应用软件安全的义务和责任。而中国人民银行《非金融机构支付服务业务系统检测认证管理规定》和《非金融机构支付服务业务系统技术标准符合性和安全性检测规范——网络支付部分》，明确要求对用户输入的账户和密码等“客户端鉴别信息安全”进行检测，如果发现其存在账户名称、密码等敏感数据的泄露，就将被划定为存在严重性问题，这样，该第三方支付平台的整个业务系统的检测结果就将被判定为“不符合”规范。

【同期】网络安全应急技术国家工程实验室主任杜跃进博士

这个就好像是我是一家传统的银行，我给你提供银行服务，我允许你用我提供给你的工具来做银行的业务操作，结果我给你提供的工具出问题了。出问题是被别人利用，然后损害到你的利益了，从经营方这个的角度自己来说确实是有责任的。

【正文】

专家研究分析和测试后发现，攻击者之所以能获取手机用户的支付宝账号和密码等重要的认证信息，恰恰就是因为他能够对支付宝应用程序进行插桩，植入恶意程序片段，对用户输入进行监控。

【同期】手机安全专家诸葛建伟

支付宝应用由于缺乏一些对抗逆向分析的机制，以及并没有对修改后的支付宝应用进行一个验证，就使得被修改后的支付宝应用还可以像原来一样去连接服务器，来完成登录和转账的操作。

【正文】

记者随后就支付宝应用程序被插桩恶意程序片段的安全防范问题，对支付宝方面进行了电话采访。

【同期】支付宝 018号客服

记者：你们能不能发现，发现用户手机里的支付宝软件被人做了手脚?

客服：可以的。你刚刚不是把账号告诉我，我在这边查询到了的嘛。

记者：那就只有用户告诉你了，才能发现，是吗?

对啊。

记者：那你们为什么不能主动去提示用户呢?

我们是神仙啊!

【正文】

在复杂多变的网络环境下，支付宝等第三方支付平台安全事件发生概率并不低。据2011年中国人民银行公布的数据显示，我国网银安全事件的发生概率仅为百万分之一，然而，截至目前，支付宝声称其风险概率为十万分之一。

【同期】支付宝公司技术人员

风险发生率应该在十万分之一左右，那这个过程中，我们没办法去担保百分之一百、所有用户的支付宝全部是安全的。

【正文】

记者调查发现，用户银行卡被通过支付宝等第三方支付平台盗刷后，除了向支付宝等第三方支付平台索赔外，只有等到警方破案后追索赃款来挽回损失。公开报道显示，向第三方支付平台索赔，受害者很难个个如偿所愿，有用户支付宝被盗5万元，但支付宝拒绝赔偿;而记者从警方了解到，即便银行卡盗刷案顺利告破，受害者要想拿回被盗的资金，也不是件简单的事情。

【同期】江苏省扬州市杭集派出所教导员

等犯罪嫌疑人到案以后，随后我们根据相关的法律法规规定，跟着这个案件一起到检察院、法院，提起公诉以后，才会附带民事赔偿。

【正文】

警方透露，随着移动互联网普及，涉及移动支付等方面的网络安全问题越来越突出。要降低移动支付给用户带来的安全威胁，避免用户损失，除强化应用软件等厂商的安全责任和义务外，采取事先防范措施已刻不容缓。

专家提醒，用户尽量避免使用免费又不需要密码的wifi，同时也要留心不要掉入名称相近的钓鱼wifi网络陷阱。平常最好关闭手机wifi自动连接功能，以免自动扫描并连接上不设密码的钓鱼wifi网络。此外，可用两部手机，一部用来上网登录支付宝等第三方平台刷卡操作，而另一部手机的号码，则专用于收取手机银行或者第三方支付平台的验证码，以增加网络攻击者获取个人隐私信息的难度，降低银行卡被盗刷风险。

【演播室】

专家说，在现在互联网的时代，面对各种针对互联网的安全问题，没有一劳永逸的办法，还是说支付宝等第三方平台，他们为了用户的资金和信息安全，也设置了多道门槛，密码、短信验证码等等都是有效的安全屏障，但是随着不法分子盗取用户信息的手段越来越高明，现有的安全防范措施也亟待更新升级，才能更有效地保护好用户的资金安全，但是遗憾的是，从目前我们调查的情况来看，互联网支付和移动支付等第三平台的安全防护手段还不足以防范不法分子的攻击，而这无疑是给用户留下了巨大的安全隐患。好，感谢收看《每周质量报告》，下周同一时间再见。