央视：手机支付安全问题隐忧支付宝难防盗刷行为

来源:央视 2014-06-17 16:55 http://www.mnw.cn/ 海峡都市报电子版

【主持人】

【正文】

　　手机操作系统是手机所有应用程序运行的基础，相当于手机的大脑。网络安全国家权威研究机构的专家向记者透露，安卓操作系统安全漏洞的客观存在，给攻击手机打开了方便之门，使支付宝等移动支付应用面临严重的安全威胁。

【同期】网络安全应急技术国家工程实验室主任杜跃进博士

　　移动支付是有一整套的方法来保证你的安全，但是一个安全的环境如果都没有的话，就让你的各种各样的安全保障都受到很严重的威胁了。

【正文】

　　记者了解到，手机操作系统的构建和完善无法一劳永逸，时时都存在防御与攻击的博弈。但专家指出对系统安全漏洞及时修补，提升安全等级，是手机操作系统厂商无法推卸的责任。

　　中国人民银行《非金融机构支付服务管理办法》第三十二条规定：支付机构应当具备必要的技术手段，确保支付业务的安全性。也就是说，支付宝等第三方支付厂商无法回避其确保应用软件安全的义务和责任。而中国人民银行《非金融机构支付服务业务系统检测认证管理规定》和《非金融机构支付服务业务系统技术标准符合性和安全性检测规范——网络支付部分》，明确要求对用户输入的账户和密码等“客户端鉴别信息安全”进行检测，如果发现其存在账户名称、密码等敏感数据的泄露，就将被划定为存在严重性问题，这样，该第三方支付平台的整个业务系统的检测结果就将被判定为“不符合”规范。

【同期】网络安全应急技术国家工程实验室主任杜跃进博士

　　这个就好像是我是一家传统的银行，我给你提供银行服务，我允许你用我提供给你的工具来做银行的业务操作，结果我给你提供的工具出问题了。出问题是被别人利用，然后损害到你的利益了，从经营方这个的角度自己来说确实是有责任的。

【正文】

　　专家研究分析和测试后发现，攻击者之所以能获取手机用户的支付宝账号和密码等重要的认证信息，恰恰就是因为他能够对支付宝应用程序进行插桩，植入恶意程序片段，对用户输入进行监控。

【同期】手机安全专家诸葛建伟

　　支付宝应用由于缺乏一些对抗逆向分析的机制，以及并没有对修改后的支付宝应用进行一个验证，就使得被修改后的支付宝应用还可以像原来一样去连接服务器，来完成登录和转账的操作。

【正文】

　　记者随后就支付宝应用程序被插桩恶意程序片段的安全防范问题，对支付宝方面进行了电话采访。

【同期】支付宝018号客服

　　记者：你们能不能发现，发现用户手机里的支付宝软件被人做了手脚？

　　客服：可以的。你刚刚不是把账号告诉我，我在这边查询到了的嘛。

　　记者：那就只有用户告诉你了，才能发现，是吗？

　　对啊。

　　记者：那你们为什么不能主动去提示用户呢？

　　我们是神仙啊！

【正文】

　　在复杂多变的网络环境下，支付宝等第三方支付平台安全事件发生概率并不低。据2011年中国人民银行公布的数据显示，我国网银安全事件的发生概率仅为百万分之一，然而，截至目前，支付宝声称其风险概率为十万分之一。

【同期】支付宝公司技术人员

　　风险发生率应该在十万分之一左右，那这个过程中，我们没办法去担保百分之一百、所有用户的支付宝全部是安全的。

【正文】

　　记者调查发现，用户银行卡被通过支付宝等第三方支付平台盗刷后，除了向支付宝等第三方支付平台索赔外，只有等到警方破案后追索赃款来挽回损失。公开报道显示，向第三方支付平台索赔，受害者很难个个如偿所愿，有用户支付宝被盗5万元，但支付宝拒绝赔偿；而记者从警方了解到，即便银行卡盗刷案顺利告破，受害者要想拿回被盗的资金，也不是件简单的事情。

【同期】江苏省扬州市杭集派出所教导员

　　等犯罪嫌疑人到案以后，随后我们根据相关的法律法规规定，跟着这个案件一起到检察院、法院，提起公诉以后，才会附带民事赔偿。

【正文】

　　警方透露，随着移动互联网普及，涉及移动支付等方面的网络安全问题越来越突出。要降低移动支付给用户带来的安全威胁，避免用户损失，除强化应用软件等厂商的安全责任和义务外，采取事先防范措施已刻不容缓。

　　专家提醒，用户尽量避免使用免费又不需要密码的wifi，同时也要留心不要掉入名称相近的钓鱼wifi网络陷阱。平常最好关闭手机wifi自动连接功能，以免自动扫描并连接上不设密码的钓鱼wifi网络。此外，可用两部手机，一部用来上网登录支付宝等第三方平台刷卡操作，而另一部手机的号码，则专用于收取手机银行或者第三方支付平台的验证码，以增加网络攻击者获取个人隐私信息的难度，降低银行卡被盗刷风险。

【演播室】

　　专家说，在现在互联网的时代，面对各种针对互联网的安全问题，没有一劳永逸的办法，还是说支付宝等第三方平台，他们为了用户的资金和信息安全，也设置了多道门槛，密码、短信验证码等等都是有效的安全屏障，但是随着不法分子盗取用户信息的手段越来越高明，现有的安全防范措施也亟待更新升级，才能更有效地保护好用户的资金安全，但是遗憾的是，从目前我们调查的情况来看，互联网支付和移动支付等第三平台的安全防护手段还不足以防范不法分子的攻击，而这无疑是给用户留下了巨大的安全隐患。好，感谢收看《每周质量报告》，下周同一时间再见。