手机支付存隐患 安全漏洞曝光

2014年06月16日科技
【新唐人2014年6月16日讯】在现在互联网的时代,面对各种针对互联网的安全问题,没有一劳永逸的办法。例如支付宝虽然设置了多道门槛,但是随着不法分子盗取用户信息的手段越来越高明,依然存有隐患。据调查,互联网支付和移动支付等第三平台的安全防护手段还不足以防范不法分子的攻击,而这无疑是给用户留下了巨大的安全隐患。近日,手机支付存隐患安全漏洞被曝光。

《新浪科技》报导,近一段时间手机用户爆料,其银行卡存款突然不翼而飞。

一名福建用户称,银行卡被人从网上利用支付宝、网易宝等第三方支付方式盗刷了6笔2000元钱。另一江苏省扬州市记者披露的一起银行卡盗刷案,当事人银行卡被盗刷6万多元。

据警方介绍,在银行卡被盗刷之前,当事人的银行卡以及保障网银安全的U盾、密码等都没有丢失过,更为奇怪的问题是,在整个盗刷过程中,当事人和银行卡绑定的手机也没有显示出账户变化的提醒简讯,直到当事人自己刷卡消费的时候,才发现银行卡被盗刷了。

按照支付宝等第三方支付平台现有的安全防范措施,只有同时掌握账号、登录密码、支付密码以及简讯验证码这四道安全防护密匙,才有可能从网上通过第三方支付平台刷卡转账。

报导指出,由于用户个人不慎泄露了隐私信息,导致银行卡资金被盗。现在已经拿到用户的这款小米2手机,存在比较多的安全漏洞。

清华大学副研究员、国家重大专项课题之《Linux/Android操作系统安全漏洞检测》研究小组负责人诸葛建伟表示,攻击者会设置一个公共的钓鱼wifi,通过去配置这样的一款无线路由器,去把它作为用户手机上网的,中间人攻击的一个节点。那如果用户为了省流量,用他的手机连入到这样的一个公共Wifi里,用户的上网流量就会被劫持到攻击者指定的一个笔记本电脑或者是PC上。

专家介绍说,一旦手机用户的上网数据流被攻击者劫持,用户点开的任何一个网页,实际上都可能被攻击者暗地里插入了恶意攻击程序,它会利用手机浏览器的安全漏洞,接着在用户手机中自动植入新的木马程序。而这种木马程序又会进一步利用手机操作系统内核中存在的ROOT提权漏洞,这种漏洞会被用来获取原本属于系统自身才能拥有的最高许可权,这就意味着攻击者由此获得了手机的完全控制权。

当用户在手机上输入支付宝账号和密码的时候,这些极其重要的账户认证信息几乎同时暴露在攻击者的电脑屏幕上。

按照支付宝的流程设计,单笔付款金额达到200元,必须经过简讯验证码确认后,才能完成支付操作。然而,专家分析发现,攻击者获得手机完全控制权后,简讯验证码的安全防范作用也就相当于形同虚设。

同时他还可以利用手机上的木马程序,对支付宝发给用户手机的一个验证码来进行拦截。这种新的攻击方式是可以让攻击者非常从容在用户完全没有察觉的这种情况下,偷偷地把你的钱转走。

除小米2 机型外,像三星的Galaxy S4、谷歌(551.76, 0.41, 0.07%)的Nexus4以及华为、联想的(品牌的)一些机型,也都同样存在着这样的ROOT提权安全漏洞,也就是能够让攻击者获取手机最高许可权的一个漏洞。

这种攻击模式是组合使用浏览器的漏洞和本地root提权漏洞,进行进一步的攻击,完全屏蔽掉360手机卫士的运行,从而让它失效,我们还进一步分析发现,这种攻击模式,对像腾讯(117.2, 1.10, 0.95%, 实时行情)手机管家这样的一些市场上主流的手机安全软体同样有效,同样可以让它们失去保护手机的效果。

在进行一个恶意转账之后,可以彻底地把木马程序和所有的一些日志都进行一个擦除。这样的话,即使你进行了一个报案,你把这个手机交给了警方,警方(目前)也没有任何的办法通过举证分析去找到攻击者的一个线索。

据报导,支付宝应用由于缺乏一些对抗逆向分析的机制,以及并没有对修改后的支付宝应用进行一个验证,就使得被修改后后的支付宝应用还可以像原来一样去连接伺服器,来完成登录和转账的操作。

专家研究分析和测试后发现,攻击者之所以能获取手机用户的支付宝账号和密码等重要的认证信息,恰恰就是因为他能够对支付宝应用程序进行插桩,植入恶意程序片段,对用户输入进行监控。