央视曝光支付宝难防不法分子攻击 被盗资金赔偿难

刷用户银行卡的完整过程。

　　【同期】手机安全专家诸葛建伟

　　攻击者会设置一个公共的钓鱼wifi，通过去配置这样的一款无线路由器，去把它作为用户手机上网的，中间人攻击的一个节点。那如果用户为了省流量，用他的手机连入到这样的一个公共Wifi里，用户的上网流量就会被劫持到攻击者指定的一个笔记本电脑或者是PC上。

　　【正文】

　　专家介绍说，一旦手机用户的上网数据流被攻击者劫持，用户点开的任何一个网页，实际上都可能被攻击者暗地里插入了恶意攻击程序，它会利用手机浏览器的安全漏洞，接着在用户手机中自动植入新的木马程序。而这种木马程序又会进一步利用手机操作系统内核中存在的ROOT提权漏洞，这种漏洞会被用来获取原本属于系统自身才能拥有的最高权限，这就意味着攻击者由此获得了手机的完全控制权。

　　【同期】手机安全专家诸葛建伟

　　也就是说，他可以去读取手机里面存储的所有的用户的一个隐私信息，以及可以去控制手机上所安装的任何的一个应用(程序)。

　　【正文】

　　记者注意到，当用户在手机上输入支付宝账号和密码的时候，这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。

　　按照支付宝的流程设计，单笔付款金额达到200元，必须经过短信验证码确认后，才能完成支付操作。然而，专家分析发现，攻击者获得手机完全控制权后，短信验证码的安全防范作用也就相当于形同虚设。

　　【同期】手机安全专家诸葛建伟

　　同时他还可以利用手机上的木马程序，对支付宝发给用户手机的一个验证码来进行拦截。

　　【正文】

　　记者看到，当技术人员使用刚刚获得的支付宝账号和密码发起了转账555元的操作后，支付宝平台原本下发给用户手机的短信验证码，在用户手机屏幕上并没有出现，反而出现在了攻击者的电脑屏幕上。技术人员输入这个验证码之后，用户支付宝账号中的余额555元钱立即被转走了，此外，账户变动的短信提示也被屏蔽，用户手机屏幕上没有出现任何提示信息。

　　【同期】手机安全专家诸葛建伟

　　这种新的攻击方式是可以让攻击者非常从容在用户完全没有察觉的这种情况下，偷偷地把你的钱转走。

　　【正文】

　　专家警示，这种利用手机操作系统安全漏洞，来攻击用户手机、通过支付宝等第三方支付平台盗刷银行卡的技术并不高深，一般的网络攻击者，只要跟踪到一些已公开的安全漏洞，或者通过地下产业链购买到相关的攻击程序和木马程序，便可以完成对支付宝账号的攻击，盗走用户银行卡资金。

　　研究人员接下来还扩大了研究范围，结果发现市场上的几款手机都存在同类安全漏洞。

　　【同期】手机安全专家诸葛建伟

　　除小米2 机型外，像三星的Galaxy S4、谷歌的Nexus4以及华为、联想的(品牌的)一些机型，也都同样存在着这样的ROOT提权安全漏洞，也就是能够让攻击者获取手机最高权限的一个漏洞。

　　【正文】

　　记者注意到，专家分析测试存在系统安全漏洞的这些手机，分别安装了市场主流的几款手机安全软件，然而，当专业技术人员利用这种系统安全漏洞进行支付宝转账攻击测试时，这些安全软件似乎并没有表现出安全防护作用。

　　【同期】手机安全专家诸葛建伟

　　这种攻击模式是组合使用浏览器的漏洞和本地root提权漏洞，进行进一步的攻击，完全屏蔽掉360手机卫士的运行，从而让它失效，我们还进一步分析发现，这种攻击模式，对像腾讯手机管家这样的一些市场上主流的手机安全软件同样有效，同样可以让它们失去保护手机的效果。

　　【正文】

专家进一步分析测试后还发现，这种安卓系统安全漏洞，使攻击者不但可以隐蔽地从网上通过