央视曝光支付宝难防不法攻击
|
【正文】 记者注意到,当用户在手机上输入支付宝账号和密码的时候,这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。 按照支付宝的流程设计,单笔付款金额达到200元,必须经过短信验证码确认后,才能完成支付操作。然而,专家分析发现,攻击者获得手机完全控制权后,短信验证码的安全防范作用也就相当于形同虚设。 【同期】手机安全专家诸葛建伟 同时他还可以利用手机上的木马程序,对支付宝发给用户手机的一个验证码来进行拦截。 【正文】 记者看到,当技术人员使用刚刚获得的支付宝账号和密码发起了转账555元的操作后,支付宝平台原本下发给用户手机的短信验证码,在用户手机屏幕上并没有出现,反而出现在了攻击者的电脑屏幕上。技术人员输入这个验证码之后,用户支付宝账号中的余额555元钱立即被转走了,此外,账户变动的短信提示也被屏蔽,用户手机屏幕上没有出现任何提示信息。 【同期】手机安全专家诸葛建伟 这种新的攻击方式是可以让攻击者非常从容在用户完全没有察觉的这种情况下,偷偷地把你的钱转走。 【正文】 专家警示,这种利用手机操作系统安全漏洞,来攻击用户手机、通过支付宝等第三方支付平台盗刷银行卡的技术并不高深,一般的网络攻击者,只要跟踪到一些已公开的安全漏洞,或者通过地下产业链购买到相关的攻击程序和木马程序,便可以完成对支付宝账号的攻击,盗走用户银行卡资金。 研究人员接下来还扩大了研究范围,结果发现市场上的几款手机都存在同类安全漏洞。 【同期】手机安全专家诸葛建伟 除小米2机型外,像三星的Galaxy S4、谷歌的Nexus4以及华为、联想的(品牌的)一些机型,也都同样存在着这样的ROOT提权安全漏洞,也就是能够让攻击者获取手机最高权限的一个漏洞。 【正文】 记者注意到,专家分析测试存在系统安全漏洞的这些手机,分别安装了市场主流的几款手机安全软件,然而,当专业技术人员利用这种系统安全漏洞进行支付宝转账攻击测试时,这些安全软件似乎并没有表现出安全防护作用。 【同期】手机安全专家诸葛建伟 这种攻击模式是组合使用浏览器的漏洞和本地root提权漏洞,进行进一步的攻击,完全屏蔽掉360手机卫士的运行,从而让它失效,我们还进一步分析发现,这种攻击模式,对像腾讯手机管家这样的一些市场上主流的手机安全软件同样有效,同样可以让它们失去保护手机的效果。 【正文】 专家进一步分析测试后还发现,这种安卓系统安全漏洞,使攻击者不但可以隐蔽地从网上通过支付宝等第三方支付平台,盗刷银行卡,而且还可以在达成攻击目的后,完全擦除攻击痕迹,相当于可以来无影、去无踪地盗刷用户银行卡。 【同期】手机安全专家诸葛建伟 他在进行一个恶意转账之后,他可以彻底地把木马程序和所有的一些日志都进行一个擦除。这样的话,即使你进行了一个报案,你把这个手机交给了警方,警方(目前)也没有任何的办法通过举证分析去找到攻击者的一个线索。 【主持人】 【正文】 手机操作系统是手机所有应用程序运行的基础,相当于手机的大脑。网络安全国家权威研究机构的专家向记者透露,安卓操作系统安全漏洞的客观存在,给攻击手机打开了方便之门,使支付宝等移动支付应用面临严重的安全威胁。 【同期】网络安全应急技术国家工程实验室主任杜跃进博士 移动支付是有一整套的方法来保证你的安全,但是一个安全的环境如果都没有的话,就让你的各种各样的安全保障都受到很严重的威胁了。 【正文】 记者了解到,手机操作系统的构建和完善无法一劳永逸,时时都存在防御与攻击的博弈。但专家指出对系统安全漏洞及时修补,提升安全等级,是手机操作系统厂商无法推卸的责任。 中国人民银行《非金融机构支付服务管理办法》第三十二条规定:支付机构应当具备必要的技术手段,确保支付业务的安全性。也就是说,支付宝等第三方支付厂商无法回避其确保应用软件安全的义务和责任。而中国人民银行《非金融机构支付服务业务系统检测认证管理规定》和《非金融机构支付服务业务系统技术标准符合性和安全性检测规范——网络支付部分》,明确要求对用户输入的账户和密码等“客户端鉴别信息安全”进行检测,如果发现其存在账户名称、密码等敏感数据的泄露,就将被划定为存在严重性问题,这样,该第三方支付平台的整个业务系统的检测结果就将被判定为“不符合”规范。 【同期】网络安全应急技术国家工程实验室主任杜跃进博士 这个就好像是我是一家传统的银行,我给你提供银行服务,我允许你用我提供给你的工具来做银行的业务操作,结果我给你提供的工具出问题了。出问题是被别人利用,然后损害到你的利益了,从经营方这个的角度自己来说确实是有责任的。 【正文】 专家研究分析和测试后发现,攻击者之所以能获取手机用户的支付宝账号和密码等重要的认证信息,恰恰就是因为他能够对支付宝应用程序进行插桩,植入恶意程序片段,对用户输入进行监控。 【同期】手机安全专家诸葛建伟 支付宝应用由于缺乏一些对抗逆向分析的机制,以及并没有对修改后的支付宝应用进行一个验证,就使得被修改后的支付宝应用还可以像原来一样去连接服务器,来完成登录和转账的操作。 【正文】 记者随后就支付宝应用程序被插桩恶意程序片段的安全防范问题,对支付宝方面进行了电话采访。 【同期】支付宝018号客服 记者:你们能不能发现,发现用户手机里的支付宝软件被人做了手脚? 客服:可以的。你刚刚不是把账号告诉我,我在这边查询到了的嘛。 记者:那就只有用户告诉你了,才能发现,是吗? 对啊。 记者:那你们为什么不能主动去提示用户呢? 我们是神仙啊! |
|
关键词:支付宝,攻击,被盗,赔偿 |
