央视曝光支付宝难防不法分子攻击 被盗资金赔偿难

支付宝等第三方支付平台，盗刷银行卡，而且还可以在达成攻击目的后，完全擦除攻击痕迹，相当于可以来无影、去无踪地盗刷用户银行卡。

　　【同期】手机安全专家诸葛建伟

　　他在进行一个恶意转账之后，他可以彻底地把木马程序和所有的一些日志都进行一个擦除。这样的话，即使你进行了一个报案，你把这个手机交给了警方，警方(目前)也没有任何的办法通过举证分析去找到攻击者的一个线索。

　　【主持人】

　　【正文】

　　手机操作系统是手机所有应用程序运行的基础，相当于手机的大脑。网络安全国家权威研究机构的专家向记者透露，安卓操作系统安全漏洞的客观存在，给攻击手机打开了方便之门，使支付宝等移动支付应用面临严重的安全威胁。

　　【同期】网络安全应急技术国家工程实验室主任杜跃进博士

　　移动支付是有一整套的方法来保证你的安全，但是一个安全的环境如果都没有的话，就让你的各种各样的安全保障都受到很严重的威胁了。

　　【正文】

　　记者了解到，手机操作系统的构建和完善无法一劳永逸，时时都存在防御与攻击的博弈。但专家指出对系统安全漏洞及时修补，提升安全等级，是手机操作系统厂商无法推卸的责任。

　　中国人民银行《非金融机构支付服务管理办法》第三十二条规定：支付机构应当具备必要的技术手段，确保支付业务的安全性。也就是说，支付宝等第三方支付厂商无法回避其确保应用软件安全的义务和责任。而中国人民银行《非金融机构支付服务业务系统检测认证管理规定》和《非金融机构支付服务业务系统技术标准符合性和安全性检测规范——网络支付部分》，明确要求对用户输入的账户和密码等“客户端鉴别信息安全”进行检测，如果发现其存在账户名称、密码等敏感数据的泄露，就将被划定为存在严重性问题，这样，该第三方支付平台的整个业务系统的检测结果就将被判定为“不符合”规范。

　　【同期】网络安全应急技术国家工程实验室主任杜跃进博士

　　这个就好像是我是一家传统的银行，我给你提供银行服务，我允许你用我提供给你的工具来做银行的业务操作，结果我给你提供的工具出问题了。出问题是被别人利用，然后损害到你的利益了，从经营方这个的角度自己来说确实是有责任的。

　　【正文】

　　专家研究分析和测试后发现，攻击者之所以能获取手机用户的支付宝账号和密码等重要的认证信息，恰恰就是因为他能够对支付宝应用程序进行插桩，植入恶意程序片段，对用户输入进行监控。

　　【同期】手机安全专家诸葛建伟

　　支付宝应用由于缺乏一些对抗逆向分析的机制，以及并没有对修改后的支付宝应用进行一个验证，就使得被修改后的支付宝应用还可以像原来一样去连接服务器，来完成登录和转账的操作。

　　【正文】

　　记者随后就支付宝应用程序被插桩恶意程序片段的安全防范问题，对支付宝方面进行了电话采访。

　　【同期】支付宝 018号客服

　　记者：你们能不能发现，发现用户手机里的支付宝软件被人做了手脚?

　　客服：可以的。你刚刚不是把账号告诉我，我在这边查询到了的嘛。

　　记者：那就只有用户告诉你了，才能发现，是吗?

　　对啊。

　　记者：那你们为什么不能主动去提示用户呢?

　　我们是神仙啊!

　　【正文】

　　在复杂多变的网络环境下，支付宝等第三方支付平台安全事件发生概率并不低。据2011年中国人民银行公布的数据显示，我国网银安全事件的发生概率仅为百万分之一，然而，截至目前，支付宝声称其风险概率为十万分之一。

　　【同期】支付宝公司技术人员

风险发生率应该在十万分之一左右，那这个过程中，我们没办法去