移動支付:暗礁險灘之地?
——爲《每週質量報告》挑挑刺
本文爲《移動信息》約稿,版權所有,發行權歸《移動信息》。嚴禁除《移動信息》及本文作者博客之外的任何網站轉載!2014年6月23日聲明。
6月15日,央視《每週質量報告》播放了一集節目《移動支付的隱憂》。這集節目一經播出,在讀者們中立即引起了熱烈的討論。
該節目聲稱,Android智能手機存在漏洞,如果***設置一個公共釣魚wifi,就有可能通過此漏洞盜取蹭網者的支付寶及銀行卡賬戶,從而盜刷存在裏面的錢。
大多數讀者一致認爲,這個節目,很大程度上是在危言聳聽。這個一直在傳達“使用免費wifi不安全,可能被盜刷銀行卡”觀點的節目,主要糟點在哪呢?
我們先來看看央視所說的盜號流程吧!
1,手機連接釣魚wifi→2,wifi劫持網絡流量→3,植入***,並root提權→4,讀取手機隱私信息,並監視受害者手機輸入,受害者一旦使用支付寶進行交易,就能獲取登錄賬號密碼和支付密碼→5,***自己通過此賬號密碼盜取受害者卡里的錢→6,通過***(可能是其他***)攔截銀行扣費提示並將此短信祕密轉發到***手機上。
下面再來看看一位***爲我們提供的標準***流程:
1,手機連接釣魚wifi→2,wifi劫持網絡流量→3,誘使受害者往自己手機安裝帶有***的APP(前提是手機受害者自己root過),並root提權→4,讀取手機隱私信息,並監視受害者手機輸入,受害者一旦使用支付寶進行交易,就能獲取登錄賬號密碼和支付密碼→5,***自己通過此賬號密碼盜取受害者卡里的錢→6,通過***(可能是其他***)攔截銀行扣費提示並將此短信祕密轉發到***手機上。
看出區別了嗎?《每週質量報告》將最難也是最關鍵的一步輕描淡寫地提過:誘使受害者往自己手機安裝帶有***的APP,而非***自己(主動)植入***。首先,誘使受害者安裝***App這一步很不容易混蒙過關,稍微有警惕心的讀者都會毫不猶豫的點擊“取消”,除非那種很傻很天真的受害者會毫不懷疑的、愉快的依次點擊“確定”進行下載,然後點擊“安裝”,最後點擊“打開”。如果真這麼做的話,那麼是不是他就打開了潘多拉盒子,噩夢從此開始了呢?
當然不是,因爲這還沒有完,如果順利誘使受害者安裝了***App,但是手機上沒有root,無法獲取最高權限的話,這個***還是泥濘中的老虎,沒辦法發揮作用。但是假如***運氣很好,受害者的手機已經root過,那麼要怎麼樣才能讓***運行起來呢?***第一次運行,獲取root權限時屏幕絕對會有提示受害者,並詢問同意還是拒絕的。如果受害者點了拒絕,那麼這***同樣不能發揮作用。如果點了同意,那才真真的完了。但是一個會root手機的用戶,能夠傻傻地讓來不不明的App獲取root權限嗎?顯然不會。
移動支付,在目前來說,安全係數是相當高的,但是什麼事都有個萬一,這是一個概率極低極低的事件。但是,這裏有個質疑的地方。那個節目裏的支付寶技術人員說概率是十萬分之一,我們很想知道,這十萬分之一中有多少是因釣魚wifi而產生的?而且央視在講這一段時對移動支付絕口不提,也就是說,這十萬分之一的風險可能是在電腦上發生的,也可能是在手機上發生的。我們完全有理由認定,央視是在偷換概念,誇大移動支付的風險。
而且,如果通過設置釣魚wifi來進行犯罪,那麼其一,同類型的報案肯定會爆炸性地增長,而不是像央視“無獨有偶”地這麼點一句;其二,報案的受害者肯定會多在一個地方(設置釣魚wifi的地方)出沒活動,追本溯源,這個wifi肯定非常容易定位,犯罪嫌疑人也就很容易抓獲;其三,央視雖然說這種犯罪技術“並不高深”,但即便是這樣,配置wifi什麼的總會產生費用吧,***會拿盜刷得來的錢去幹“購買遊戲點卡”之類的很low的勾當嗎?
一個在中國石化集團盈科公司做網絡管理的高級工程師表示,如果公共wifi真有那麼牛逼,那不是說,只要在局域網中的外網出口,把公司員工的信用卡啊,支付寶啊什麼的就給破解了?!有這樣的案例嗎?還真沒有聽說過。
再者,如果移動支付有這麼大而且這麼明顯的漏洞而且被桶出來了,那麼作爲漏洞策源地的互聯網肯定會沸反盈天,但是到目前爲止,除了央視的相關報道,關於釣魚wifi盜刷銀行卡的消息在網上基本找不到。
總之,央視在這集節目中,很多地方都誇大事實了。
在相隔不久的時間內(6月20日),央視《焦點訪談》欄目同樣報道了一種通過手機移動支付來盜刷銀行卡的犯罪方式。但這種方式則是使用的誘使受害者點擊安裝短信中附帶的App來盜取銀行卡信息的,跟wifi沒半毛錢關係。我們再回過頭看看《每週質量報告》片頭那位受害者所述的情況,提到wifi了嗎?自然是沒有提到,央視引用的這些受害者信息,完全是牽強附會。
所以,綜合上述觀點,我們可以得出結論,Android智能手機操作系統的漏洞是客觀存在的(如同電腦操作系統,必然會存在漏洞),但利用這些漏洞來非法牟利遠不如《每週質量報告》所說的探囊取物般容易,央視出於某種原因誇大了移動支付的風險,並藉此促進了iPhone手機的銷量。
至於出於什麼原因誇大該風險,我想結合最近Android他爸——谷歌被封,以及節目中專家提到的幾個手機品牌和阿里上市,大家應該會有所感吧。