【商情快訊】央視：手機支付程式有安全漏洞

央視引述一份統計報告說，大陸2013年行動網路第三方支付市場規模超過人民幣1兆元（約新台幣5兆元），成長達556.7%。

不過，央視指出，最近接獲多地手機用戶反映，自己的支付寶等網路第三方支付平台遭人盜刷，且遭盜刷時也沒有收到銀行的提醒簡訊，安全出現漏洞。

北京清華大學網路科學與網路空間研究院網安實驗室副研究員、國家重大專項課題「Linux/Android操作系統安全漏洞檢測」研究小組負責人諸葛建偉在取得被盜刷用戶手機進行分析後發現，攻擊者只要設置一個釣魚的公共無線網路（Wi-Fi），可在Android手機用戶使用這個公共Wi-Fi時劫持手機，透過指定的電腦取得手機最高權限。

他說，攻擊者取得手機最高權限，就可任意植入惡意攻擊程式，當手機用戶用手機上網登入支付寶等進行消費時，攻擊者就在瀏覽器上植入木馬，取得用戶帳號、密碼、支付密碼等資料，同時透過攔截查知支付寶發給用戶的認證碼，並屏蔽銀行通知刷卡的簡訊。

諸葛建偉認為，這主要是支付寶手機應用軟體缺乏一些對抗逆向分析的機制，未能對已被攻擊者修改的支付寶程式進行驗證。

支付寶相關人員告訴央視，支付寶發生安全問題的概率約為十萬分之一，無法給予百分之百的保證。

報導最後引述警方談話說，要防止上述盜刷發生，除政府應強化相關程式商的安全責任外，用戶也要採取避免連接不明公共Wi-Fi等防範手段。