互联网大佬：装APP最好别绑信用卡身份证

　　黑客黑金产业链 谁火就会盯上谁

　　2014全球移动互联网大会原本设计的BAT(百度[微博]、阿里、腾讯)对互联网金融安全问题“三国互掐”，因阿里集团副总裁、阿里小微国内事业部总裁樊治铭的缺席变成了腾讯与百度的观点对对碰。

　　在百度副总裁张磊看来，新兴的“互联网金融”被传统黑客主导的黑金产业链条盯上才是真正问题。真正的手机防护互联网高手黑客分成两派，一派加入了BAT等各大团队，一部分则隐姓埋名，成为黑色吸金产业链的雇佣兵。

　　张磊介绍，2013年前，人们被手机困扰顶多是垃圾短信和诈骗短信，但2013年下半年开始，一系列手机安全事件集中爆发，包括当年最著名的移动金融偷盗资金问题产生。原因是大量资本涌进手机。手机不再是通讯和信息载体，而是变成支付凭据。

　　“黑色产业链盯什么?就盯这些钱，盯银行客户端、支付宝[微博]和其他创新产品。”张磊认为，同Windows当年被蠕虫病毒感染一样，今天的微博、微信、手机在贼眼里就是一个个漏洞和一座座可以挖的金矿。

　　例如，百度安全团队目前截获的跟移动安全相关的有效病毒数量已经超过了50万~60万量级。上个季度百度发现最有危害性的手机银行病毒叫“银行悍匪”，这个病毒模拟了23~25家银行的钓鱼界面，包括支付宝的钓鱼界面。

　　张磊介绍，“银行悍匪”的技术原理其实很简单但很有效，就是先下了一个母包，分析一下你手机上装有什么支付软件，假设你有银行界面软件，它就把自己的银行的模拟器再下到你手机上。但是当你点一下真的银行APP软件启动时，“银行悍匪”会在你手机上第一时间把真正的银行APP关掉，界面只会闪一下，然后把它自己界面上模拟的跟银行一样的连像素都不差一个的假银行账户运行。一旦你在自己手机上点开山寨银行APP，你的账号、密码就会被黑客拿到。随后，“银行悍匪”会自动再运行真的银行APP，界面再闪一次后，山寨的银行APP会被卸载，了无痕迹。

　　而且，对于普通用户，一旦下载针对安卓系统的“银行悍匪”，用户中招率为百分之百，完全没有识别能力。银行卡被盗有可能就是1分钟的事。

　　张磊说，据他了解，各大公司安全团队当中的确都有黑客高手被“招安”。在全国，这个级别的黑客应该不超过200个，但200个中已经进场研究移动安全的或者移动攻防的不超过30人。但30人中不少人已下落不明，联系不到，估计已经被黑金公司的人来收买。

　　支付宝安全漏洞10秒钟就被攻破

　　此前，阿里集团主管支付宝、余额宝[微博]的樊治铭就曾公开炮轰微信支付是弱爆了的产品，QQ和微信号多被盗说明其产品不安全。而在微信理财通设置几乎为零的门槛且利率一度偏高后，大量草根用户又将手上余钱从支付宝转入微信，造成了支付宝来自外部的巨大流动性金融安全压力，也增大了“支付宝”被盗的可能。

　　百度副总裁、百度移动安全总经理张磊表示，就在上星期，百度安全团队就曾发现支付宝自身有一个10秒钟就被攻破的安全漏洞。张磊说，现有的手机全技术已不是传统找病毒找攻防，有很多社会化的攻击手段和新的技术或漏洞。百度移动安全团队虽然入场晚，但利用百度在PC端积累的大数据能力，可以在云端建立一套动态识别预防系统，在黑客攻击安全前进行预防。

　　“2月份，我们跟腾讯又说了一下微信有漏洞，很容易就能把用户所有信息拿到。”张磊介绍，BAT的安全防护团队经常交流找漏洞，这些都是非常良性的合作状态。

对此，腾讯负责安全