| 加入桌面 | 手機(jī)版
免費(fèi)發(fā)布信息網(wǎng)站
貿(mào)易服務(wù)免費(fèi)平臺(tái)
 
 
當(dāng)前位置: 貿(mào)易谷 » 資訊 » 網(wǎng)絡(luò)熱點(diǎn) » 手機(jī)支付藏驚天漏洞

手機(jī)支付藏驚天漏洞

放大字體  縮小字體 發(fā)布日期:2013-11-22 14:00  瀏覽次數(shù):49
  近日不少媒體報(bào)道,用戶手機(jī)賬戶里的錢“莫名”被轉(zhuǎn)走,折射支付安全隱憂。在手機(jī)上使用第三方支付,僅需一個(gè)“賬戶名+驗(yàn)證碼”便可重置密碼,這是個(gè)驚天漏洞。11月18日,北京晨報(bào)記者從安全專家口中證實(shí),已研究發(fā)現(xiàn)大量截獲“驗(yàn)證碼”的木馬。它的出現(xiàn),意味著手機(jī)支付防線開始破裂。
 
  “驗(yàn)證碼大盜”成災(zāi)
 
  大量用戶被盜刷
 
  今年5月,金山反病毒工程師李鐵軍抓到一款色情軟件,能自動(dòng)攔截“手機(jī)驗(yàn)證碼”,他很疑惑,它用這個(gè)功能要干什么。10月份,木馬樣本越來越多,幾乎已成災(zāi)。又有華西都市報(bào)、信息時(shí)報(bào)、金陵晚報(bào)先后報(bào)道,不少用戶賬戶里的錢“莫名”被轉(zhuǎn)走。
 
  直覺告訴李鐵軍,這可能與“驗(yàn)證碼大盜”有關(guān)。“我又回過頭往病毒庫(kù)找樣本,結(jié)果一找,發(fā)現(xiàn)了20個(gè)木馬作者的郵箱,里面記錄著大量的盜刷記錄!”
 
  每個(gè)郵件數(shù)量不等,少的幾十封,多的幾百封,木馬攔截短信后,直接把它們轉(zhuǎn)發(fā)到作者郵箱。內(nèi)容多是受害者的身份證、手機(jī)號(hào)等,還有一些驗(yàn)證碼記錄,比如重置密碼、開通快捷銀行、付款。
 
  11月初,奇虎360宣布發(fā)現(xiàn)類似樣本,其工程師向北京晨報(bào)記者表示,它的傳播渠道有兩種,“一種是不正規(guī)的安卓應(yīng)用市場(chǎng)、下載站、論壇等,二是一對(duì)一發(fā)送,常見有冒充淘寶買家給賣家發(fā)送圖片,誘導(dǎo)其掃描下載。”
 
  漏洞指向第三方支付 “修改密碼”門檻太低
 
  許多用戶可能有點(diǎn)蒙,攔截一個(gè)“驗(yàn)證碼”而已,怎么就能把賬戶里的錢轉(zhuǎn)走?李鐵軍向記者做了演示:先用釣魚方式獲取賬戶名,再以“找回密碼”為由修改新密碼。“目前研究的樣本中,木馬獲取密碼的唯一方式就是 找回密碼 。”
 
  大致過程為:“淘寶買家”向賣家發(fā)送二維碼,對(duì)方掃描后會(huì)彈出一個(gè)頁(yè)面:“網(wǎng)絡(luò)突然中斷,需要您填寫下賬戶名”,中招后,“買家”跟支付寶申請(qǐng)“我忘記密碼”,支付寶會(huì)發(fā)送“手機(jī)驗(yàn)證碼”確認(rèn),“買家”用木馬把它攔截,轉(zhuǎn)發(fā)到自己郵箱,之后盜刷支付寶便如探囊取物。
 
  “修改密碼”一直是支付安全的核心環(huán)節(jié),歷來被銀行重視。北京晨報(bào)記者了解到,在PC端支付,銀行曾采用U盾硬加密,后來手機(jī)流行,為簡(jiǎn)化環(huán)節(jié)推出“快捷支付”,無需U盾輸入“驗(yàn)證碼”即可,但在“修改密碼”環(huán)節(jié),銀行一直未降低門檻:需要到線下網(wǎng)點(diǎn)辦理。
 
  記者親測(cè)中國(guó)建設(shè)銀行手機(jī)端,嘗試修改密碼,需要持有效身份證件及注冊(cè)手機(jī)銀行的賬戶,去柜臺(tái)辦理相關(guān)手續(xù)。而第三方支付修改密碼確只需“用戶名+驗(yàn)證碼”,這更意味著木馬獲知賬戶名即獲知密碼,在推出手機(jī)綁定服務(wù)后,目前絕大多數(shù)用戶已將賬戶與手機(jī)號(hào)進(jìn)行了綁定,這更增加了盜號(hào)風(fēng)險(xiǎn)。
 
  電商質(zhì)疑盜號(hào)可行性
 
  稱發(fā)生概率很低
 
  記者就該漏洞,向國(guó)內(nèi)擁有第三方支付牌照的電商反映,得到的一致回復(fù)是:發(fā)生概率很小。蘇寧易購(gòu)一位負(fù)責(zé)支付工作人員表示,此前只有過用戶SIM卡被復(fù)制盜刷的情況,“攔截驗(yàn)證碼”的方式,還是第一次聽說。
 
 
  支付寶相關(guān)負(fù)責(zé)人則表示,通過“攔截驗(yàn)證碼”找回密碼的方式,在支付寶不可行。“我們不僅是看驗(yàn)證碼,還會(huì)要求它的身份證號(hào)。另外,若后臺(tái)識(shí)別出用戶可能在危險(xiǎn)環(huán)境下,會(huì)進(jìn)一步提高修改密碼門檻。”
 
  但記者親測(cè)發(fā)現(xiàn),該說法與事實(shí)不符:無需身份證,只需賬戶名+驗(yàn)證碼。申請(qǐng)“忘記密碼”后,記者僅需輸入賬戶名——選擇“手機(jī)校驗(yàn)碼”(30分鐘內(nèi)有效)——收到支付寶的短信,隨后便能修改新密碼,整個(gè)過程不超過2分鐘。
 
  對(duì)于此類盜號(hào)木馬,國(guó)內(nèi)一電商負(fù)責(zé)金融的工作人員作出評(píng)價(jià),目前用戶支付信息只會(huì)存在兩個(gè)地方,一個(gè)是銀行,一個(gè)是第三方支付公司。相比之下,銀行盜刷難度較大,“除非你丟手機(jī)的同時(shí),銀行卡也丟了。”
分享與收藏:  資訊搜索  告訴好友  關(guān)閉窗口  打印本文 本文關(guān)鍵字:
 
推薦圖文
美爆炸案凸顯社交媒體雙面性:傳播與煽動(dòng)并存 7月新增手機(jī)病毒包近10萬 “找你妹”被感染
Tegra 3安卓一體機(jī)? 宏碁推出多款PC新品 雅虎關(guān)閉中國(guó)資訊與社區(qū)頁(yè)面,是否永遠(yuǎn)退出?
贊助商鏈接
推薦資訊
贊助商鏈接