已被證實(shí) 手機(jī)支付藏驚天漏洞

2013-11-23 21:52:50 北京晨報(bào)　點(diǎn)擊量：評(píng)論 (0)

近日不少媒體報(bào)道，用戶手機(jī)賬戶里的錢莫名被轉(zhuǎn)走，折射支付安全隱憂。在手機(jī)上使用第三方支付，僅需一個(gè)賬戶名+驗(yàn)證碼便可重置密碼，這是個(gè)驚天漏洞。11月18日，北京晨報(bào)記者從安全專家口中證實(shí)，已研究發(fā)現(xiàn)

近日不少媒體報(bào)道，用戶手機(jī)賬戶里的錢“莫名”被轉(zhuǎn)走，折射支付安全隱憂。在手機(jī)上使用第三方支付，僅需一個(gè)“賬戶名+驗(yàn)證碼”便可重置密碼，這是個(gè)驚天漏洞。11月18日，北京晨報(bào)記者從安全專家口中證實(shí)，已研究發(fā)現(xiàn)大量截獲“驗(yàn)證碼”的木馬。它的出現(xiàn)，意味著手機(jī)支付防線開始破裂。

“驗(yàn)證碼大盜”成災(zāi)

大量用戶被盜刷

今年5月，金山反病毒工程師李鐵軍抓到一款色情軟件，能自動(dòng)攔截“手機(jī)驗(yàn)證碼”，他很疑惑，它用這個(gè)功能要干什么。10月份，木馬樣本越來(lái)越多，幾乎已成災(zāi)。又有華西都市報(bào)、信息時(shí)報(bào)、金陵晚報(bào)先后報(bào)道，不少用戶賬戶里的錢“莫名”被轉(zhuǎn)走。

直覺(jué)告訴李鐵軍，這可能與“驗(yàn)證碼大盜”有關(guān)。“我又回過(guò)頭往病毒庫(kù)找樣本，結(jié)果一找，發(fā)現(xiàn)了20個(gè)木馬作者的郵箱，里面記錄著大量的盜刷記錄！”

每個(gè)郵件數(shù)量不等，少的幾十封，多的幾百封，木馬攔截短信后，直接把它們轉(zhuǎn)發(fā)到作者郵箱。內(nèi)容多是受害者的身份證、手機(jī)號(hào)等，還有一些驗(yàn)證碼記錄，比如重置密碼、開通快捷銀行、付款。

11月初，奇虎360宣布發(fā)現(xiàn)類似樣本，其工程師向北京晨報(bào)記者表示，它的傳播渠道有兩種，“一種是不正規(guī)的安卓應(yīng)用市場(chǎng)、下載站、論壇等，二是一對(duì)一發(fā)送，常見(jiàn)有冒充淘寶買家給賣家發(fā)送圖片，誘導(dǎo)其掃描下載。”

漏洞指向第三方支付 “修改密碼”門檻太低

許多用戶可能有點(diǎn)蒙，攔截一個(gè)“驗(yàn)證碼”而已，怎么就能把賬戶里的錢轉(zhuǎn)走？李鐵軍向記者做了演示：先用釣魚方式獲取賬戶名，再以“找回密碼”為由修改新密碼。“目前研究的樣本中，木馬獲取密碼的唯一方式就是找回密碼。”

大致過(guò)程為：“淘寶買家”向賣家發(fā)送二維碼，對(duì)方掃描后會(huì)彈出一個(gè)頁(yè)面：“網(wǎng)絡(luò)突然中斷，需要您填寫下賬戶名”，中招后，“買家”跟支付寶申請(qǐng)“我忘記密碼”，支付寶會(huì)發(fā)送“手機(jī)驗(yàn)證碼”確認(rèn)，“買家”用木馬把它攔截，轉(zhuǎn)發(fā)到自己郵箱，之后盜刷支付寶便如探囊取物。

“修改密碼”一直是支付安全的核心環(huán)節(jié)，歷來(lái)被銀行重視。北京晨報(bào)記者了解到，在PC端支付，銀行曾采用U盾硬加密，后來(lái)手機(jī)流行，為簡(jiǎn)化環(huán)節(jié)推出“快捷支付”，無(wú)需U盾輸入“驗(yàn)證碼”即可，但在“修改密碼”環(huán)節(jié)，銀行一直未降低門檻：需要到線下網(wǎng)點(diǎn)辦理。

北京晨報(bào)記者親測(cè)中國(guó)建設(shè)銀行手機(jī)端，嘗試修改密碼，需要持有效身份證件及注冊(cè)手機(jī)銀行的賬戶，去柜臺(tái)辦理相關(guān)手續(xù)。而第三方支付修改密碼確只需“用戶名+驗(yàn)證碼”，這更意味著木馬獲知賬戶名即獲知密碼，在推出手機(jī)綁定服務(wù)后，目前絕大多數(shù)用戶已將賬戶與手機(jī)號(hào)進(jìn)行了綁定，這更增加了盜號(hào)風(fēng)險(xiǎn)。

電商質(zhì)疑盜號(hào)可行性

稱發(fā)生概率很低

北京晨報(bào)記者就該漏洞，向國(guó)內(nèi)擁有第三方支付牌照的電商反映，得到的一致回復(fù)是：發(fā)生概率很小。蘇寧易購(gòu)一位負(fù)責(zé)支付工作人員表示，此前只有過(guò)用戶SIM卡被復(fù)制盜刷的情況，“攔截驗(yàn)證碼”的方式，還是第一次聽(tīng)說(shuō)。

支付寶相關(guān)負(fù)責(zé)人則表示，通過(guò)“攔截驗(yàn)證碼”找回密碼的方式，在支付寶不可行。“我們不僅是看驗(yàn)證碼，還會(huì)要求它的身份證號(hào)。另外，若后臺(tái)識(shí)別出用戶可能在危險(xiǎn)環(huán)境下，會(huì)進(jìn)一步提高修改密碼門檻。”

但記者親測(cè)發(fā)現(xiàn)，該說(shuō)法與事實(shí)不符：無(wú)需身份證，只需賬戶名+驗(yàn)證碼。申請(qǐng)“忘記密碼”后，記者僅需輸入賬戶名——選擇“手機(jī)校驗(yàn)碼”（30分鐘內(nèi)有效）——收到支付寶的短信，隨后便能修改新密碼，整個(gè)過(guò)程不超過(guò)2分鐘。

對(duì)于此類盜號(hào)木馬，國(guó)內(nèi)一電商負(fù)責(zé)金融的工作人員作出評(píng)價(jià)，目前用戶支付信息只會(huì)存在兩個(gè)地方，一個(gè)是銀行，一個(gè)是第三方支付公司。相比之下，銀行盜刷難度較大，“除非你丟手機(jī)的同時(shí)，銀行卡也丟了。”

晨報(bào)記者王方

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊