央视曝移动支付存隐忧 安防难防不法分子攻击

隐秘盗刷用户银行卡的完整过程。

　　【同期】手机安全专家 诸葛建伟

　　攻击者会设置一个公共的钓鱼wifi，通过去配置这样的一款无线路由器，去把它作为用户手机上网的，中间人攻击的一个节点。

　　那如果用户为了省流量，用他的手机连入到这样的一个公共Wifi里，用户的上网流量就会被劫持到攻击者指定的一个笔记本电脑或者是PC上。

　　【正文】

　　专家介绍说，一旦手机用户的上网数据流被攻击者劫持，用户点开的任何一个网页，实际上都可能被攻击者暗地里插入了恶意攻击程序，它会利用手机浏览器的安全漏洞，接着在用户手机中自动植入新的木马程序。而这种木马程序又会进一步利用手机操作系统内核中存在的ROOT提权漏洞，这种漏洞会被用来获取原本属于系统自身才能拥有的最高权限，这就意味着攻击者由此获得了手机的完全控制权。

　　【同期】手机安全专家 诸葛建伟

　　也就是说，他可以去读取手机里面存储的所有的用户的一个隐私信息， 以及可以去控制手机上所安装的任何的一个应用(程序)。

　　【正文】

　　记者注意到，当用户在手机上输入支付宝账号和密码的时候，这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。

　　按照支付宝的流程设计，单笔付款金额达到200元，必须经过短信验证码确认后，才能完成支付操作。然而，专家分析发现，攻击者获得手机完全控制权后，短信验证码的安全防范作用也就相当于形同虚设。

　　【同期】手机安全专家 诸葛建伟

　　同时他还可以利用手机上的木马程序，对支付宝发给用户手机的一个验证码来进行拦截。

　　【正文】

　　记者看到，当技术人员使用刚刚获得的支付宝账号和密码发起了转账555元的操作后，支付宝平台原本下发给用户手机的短信验证码，在用户手机屏幕上并没有出现，反而出现在了攻击者的电脑屏幕上。技术人员输入这个验证码之后，用户支付宝账号中的余额555元钱立即被转走了，此外，账户变动的短信提示也被屏蔽，用户手机屏幕上没有出现任何提示信息。