安卓手機被曝存漏洞 易致銀行及支付寶賬戶被盜
- 發佈時間:2014-06-17 07:17:00 來源:中國新聞網 責任編輯:王磊
近日,央視《每週品質報告》報道了移動支付存在的諸多安全隱患。隨著移動網際網路的發展與智慧手機的普及,第三方支付規模日益擴大。而由於手機系統存在的固有漏洞,使攻擊者通過建立公共WIFI、植入木馬程式的方式獲取用戶手機隱私以及賬戶資訊,實現銀行卡與支付寶賬戶中現金盜取。小米、華為、谷歌等部分機型存在安全漏洞,在遭遇攻擊時,手機上的安全軟體完全失效。專家建議,為預防銀行卡盜耍的事情發生,應避免連接無密碼的公共WIFI。
小米2聯想等機型被曝存安全漏洞
按照支付寶以及支付平臺現有的保護措施,用戶在具有賬號、登錄密碼、支付密碼、短信驗證碼四道防線才能通過第三方支付平臺實現消費轉賬,並且每筆消費都會銀行賬戶變動短信進行提示。那麼數道防線下,不法分子又是如何盜刷銀行卡的呢?
據央視《每週品質報告》報道,北京市從事研究第三方支付的獨立機構將近年來通過支付寶盜耍銀行卡的案例進行匯總分析指出,部分案例是由於用戶個人不慎,洩露個人資訊所致。如被人複製身份證補辦手機卡,導致銀行卡被盜刷。而相當部分案例是用戶被動情況下由於網路環境不安全導致用戶銀行卡資金被盜。網路安全專家萬濤表示,被動的情況如去咖啡館等公眾場所連結WIFI,導致手機被控制。
清華大學副研究員、國家重大專項課題《Linux/Android作業系統安全漏洞檢測》研究小組負責人諸葛建偉表示,針對存在安全漏洞的手機,攻擊者會設置一個公共的釣魚WIFI,通過去配置一台無線路由器,把它作為用戶手機上網的中間人共計的節點。如果用戶手機連入這樣的公共WIFI中,用戶的上網流量就會被劫持到攻擊者指定的一個筆記型電腦或者PC上。一旦手機上網用戶的數據流被攻擊者劫持,用戶點開的任何網頁就有可能被攻擊者插入惡意攻擊程式,並利用手機固有的漏洞植入新的木馬程式,幫助攻擊者獲得手機的完全控制權,從而讀取手機存儲的手機用戶資訊,控制手機安裝的應用。此外,獲得控制權後還能將驗證短信完全遮罩,十七形同虛設,從而實現惡意轉賬。
經過研究人員調查發現,小米2、三星Galaxy S4、谷歌Nexus4以及華為、聯想部分機型存在ROOT提權安全漏洞即能讓攻擊者獲取手機最高許可權的漏洞。
手機系統漏洞致安全手機軟體失效
在這些被調查的手機中,全部都安裝了國內主流的手機安全軟體。根據央視報道,當專業技術人員利用系統安全漏洞進行支付寶攻擊轉賬測試時,手機上安裝的安全軟體並沒有做出安全防護措施。
對此,諸葛建偉表示,這種攻擊模式組合使用瀏覽器的漏洞和本地Root提權漏洞,進行進一步攻擊,完全遮罩掉360手機衛士的運作,從而使其失效。並且該種攻擊模式,使騰訊手機管家等市場主流手機安全軟體同樣失去保護手機的作用。
避免連結公共WIFI防銀行卡盜刷
中國人民銀行《非金融機構支付服務管理辦法》規定,支付機構應當具備必要的技術手段,確保支付業務的安全性,支付寶等第三方支付機構廠商無法回避其確保安全的義務和責任
隨著移動網際網路普及,涉及移動支付方面的網路安全問題越來越突出,要降低移動支付給用戶帶來的移動安全隱患,避免用戶損失,除強化應用軟體等廠商的企業責任外,採取事先防範措施顯得尤為關鍵。
對於愈來愈猖獗的手機WIFI盜刷銀行卡案件,專家建議,用戶儘量避免使用免費又不需要密碼的WIFI,同時要留心不要掉入名稱相近的釣魚WIFI網站,平時最好關閉手機WIFI自動連接功能,避免自動掃描並連接上不設密碼的WIFI釣魚網站。