小米等手機(jī)被曝存漏洞 易致銀行及支付寶賬戶被盜

中新網(wǎng)6月16日(IT頻道張司南) 近日，央視《每周質(zhì)量報告》報道了移動支付存在的諸多安全隱患。隨著移動互聯(lián)網(wǎng)的發(fā)展與智能手機(jī)的普及，第三方支付規(guī)模日益擴(kuò)大。而由于手機(jī)系統(tǒng)存在的固有漏洞，使攻擊者通過建立公共WIFI、植入木馬程序的方式獲取用戶手機(jī)隱私以及賬戶信息，實現(xiàn)銀行卡與支付寶賬戶中現(xiàn)金盜取。小米、華為、谷歌等部分機(jī)型存在安全漏洞，在遭遇攻擊時，手機(jī)上的安全軟件完全失效。專家建議，為預(yù)防銀行卡盜耍的事情發(fā)生，應(yīng)避免連接無密碼的公共WIFI。

小米2聯(lián)想等機(jī)型被曝存安全漏洞

按照支付寶以及支付平臺現(xiàn)有的保護(hù)措施，用戶在具有賬號、登錄密碼、支付密碼、短信驗證碼四道防線才能通過第三方支付平臺實現(xiàn)消費轉(zhuǎn)賬，并且每筆消費都會銀行賬戶變動短信進(jìn)行提示。那么數(shù)道防線下，不法分子又是如何盜刷銀行卡的呢？

據(jù)央視《每周質(zhì)量報告》報道，北京市從事研究第三方支付的獨立機(jī)構(gòu)將近年來通過支付寶盜耍銀行卡的案例進(jìn)行匯總分析指出，部分案例是由于用戶個人不慎，泄露個人信息所致。如被人復(fù)制身份證補(bǔ)辦手機(jī)卡，導(dǎo)致銀行卡被盜刷。而相當(dāng)部分案例是用戶被動情況下由于網(wǎng)絡(luò)環(huán)境不安全導(dǎo)致用戶銀行卡資金被盜。網(wǎng)絡(luò)安全專家萬濤表示，被動的情況如去咖啡館等公眾場所鏈接WIFI，導(dǎo)致手機(jī)被控制。

清華大學(xué)副研究員、國家重大專項課題《Linux/Android操作系統(tǒng)安全漏洞檢測》研究小組負(fù)責(zé)人諸葛建偉表示，針對存在安全漏洞的手機(jī)，攻擊者會設(shè)置一個公共的釣魚WIFI，通過去配置一臺無線路由器，把它作為用戶手機(jī)上網(wǎng)的中間人共計的節(jié)點。如果用戶手機(jī)連入這樣的公共WIFI中，用戶的上網(wǎng)流量就會被劫持到攻擊者指定的一個筆記本電腦或者PC上。一旦手機(jī)上網(wǎng)用戶的數(shù)據(jù)流被攻擊者劫持，用戶點開的任何網(wǎng)頁就有可能被攻擊者插入惡意攻擊程序，并利用手機(jī)固有的漏洞植入新的木馬程序，幫助攻擊者獲得手機(jī)的完全控制權(quán)，從而讀取手機(jī)存儲的手機(jī)用戶信息，控制手機(jī)安裝的應(yīng)用。此外，獲得控制權(quán)后還能將驗證短信完全屏蔽，十七形同虛設(shè)，從而實現(xiàn)惡意轉(zhuǎn)賬。

經(jīng)過研究人員調(diào)查發(fā)現(xiàn)，小米2、三星Galaxy S4、谷歌Nexus4以及華為、聯(lián)想部分機(jī)型存在ROOT提權(quán)安全漏洞即能讓攻擊者獲取手機(jī)最高權(quán)限的漏洞。