移动支付:暗礁险滩之地? 
——为《每周质量报告》挑挑刺

本文为《移动信息》约稿,版权所有,发行权归《移动信息》。严禁除《移动信息》及本文作者博客之外的任何网站转载!2014年6月23日声明。

6月15日,央视《每周质量报告》播放了一集节目《移动支付的隐忧》。这集节目一经播出,在读者们中立即引起了热烈的讨论。

该节目声称,Android智能手机存在漏洞,如果黑客设置一个公共钓鱼wifi,就有可能通过此漏洞盗取蹭网者的支付宝及银行卡账户,从而盗刷存在里面的钱。

大多数读者一致认为,这个节目,很大程度上是在危言耸听。这个一直在传达“使用免费wifi不安全,可能被盗刷银行卡”观点的节目,主要糟点在哪呢?

我们先来看看央视所说的盗号流程吧!

1,手机连接钓鱼wifi→2,wifi劫持网络流量→3,植入木马,并root提权→4,读取手机隐私信息,并监视受害者手机输入,受害者一旦使用支付宝进行交易,就能获取登录账号密码和支付密码→5,黑客自己通过此账号密码盗取受害者卡里的钱→6,通过木马(可能是其他木马)拦截银行扣费提示并将此短信秘密转发到黑客手机上。

下面再来看看一位黑客为我们提供的标准攻击流程:

1,手机连接钓鱼wifi→2,wifi劫持网络流量→3,诱使受害者往自己手机安装带有木马的APP(前提是手机受害者自己root过),并root提权→4,读取手机隐私信息,并监视受害者手机输入,受害者一旦使用支付宝进行交易,就能获取登录账号密码和支付密码→5,黑客自己通过此账号密码盗取受害者卡里的钱→6,通过木马(可能是其他木马)拦截银行扣费提示并将此短信秘密转发到黑客手机上。

看出区别了吗?《每周质量报告》将最难也是最关键的一步轻描淡写地提过:诱使受害者往自己手机安装带有木马的APP,而非黑客自己(主动)植入木马。首先,诱使受害者安装木马App这一步很不容易混蒙过关,稍微有警惕心的读者都会毫不犹豫的点击“取消”,除非那种很傻很天真的受害者会毫不怀疑的、愉快的依次点击“确定”进行下载,然后点击“安装”,最后点击“打开”。如果真这么做的话,那么是不是他就打开了潘多拉盒子,噩梦从此开始了呢?

当然不是,因为这还没有完,如果顺利诱使受害者安装了木马App,但是手机上没有root,无法获取最高权限的话,这个木马还是泥泞中的老虎,没办法发挥作用。但是假如黑客运气很好,受害者的手机已经root过,那么要怎么样才能让木马运行起来呢?木马第一次运行,获取root权限时屏幕绝对会有提示受害者,并询问同意还是拒绝的。如果受害者点了拒绝,那么这木马同样不能发挥作用。如果点了同意,那才真真的完了。但是一个会root手机的用户,能够傻傻地让来不不明的App获取root权限吗?显然不会。

移动支付,在目前来说,安全系数是相当高的,但是什么事都有个万一,这是一个概率极低极低的事件。但是,这里有个质疑的地方。那个节目里的支付宝技术人员说概率是十万分之一,我们很想知道,这十万分之一中有多少是因钓鱼wifi而产生的?而且央视在讲这一段时对移动支付绝口不提,也就是说,这十万分之一的风险可能是在电脑上发生的,也可能是在手机上发生的。我们完全有理由认定,央视是在偷换概念,夸大移动支付的风险。

而且,如果通过设置钓鱼wifi来进行犯罪,那么其一,同类型的报案肯定会爆炸性地增长,而不是像央视“无独有偶”地这么点一句;其二,报案的受害者肯定会多在一个地方(设置钓鱼wifi的地方)出没活动,追本溯源,这个wifi肯定非常容易定位,犯罪嫌疑人也就很容易抓获;其三,央视虽然说这种犯罪技术“并不高深”,但即便是这样,配置wifi什么的总会产生费用吧,黑客会拿盗刷得来的钱去干“购买游戏点卡”之类的很low的勾当吗? 
一个在中国石化集团盈科公司做网络管理的高级工程师表示,如果公共wifi真有那么牛逼,那不是说,只要在局域网中的外网出口,把公司员工的信用卡啊,支付宝啊什么的就给破解了?!有这样的案例吗?还真没有听说过。

再者,如果移动支付有这么大而且这么明显的漏洞而且被桶出来了,那么作为漏洞策源地的互联网肯定会沸反盈天,但是到目前为止,除了央视的相关报道,关于钓鱼wifi盗刷银行卡的消息在网上基本找不到。

总之,央视在这集节目中,很多地方都夸大事实了。

在相隔不久的时间内(6月20日),央视《焦点访谈》栏目同样报道了一种通过手机移动支付来盗刷银行卡的犯罪方式。但这种方式则是使用的诱使受害者点击安装短信中附带的App来盗取银行卡信息的,跟wifi没半毛钱关系。我们再回过头看看《每周质量报告》片头那位受害者所述的情况,提到wifi了吗?自然是没有提到,央视引用的这些受害者信息,完全是牵强附会。

所以,综合上述观点,我们可以得出结论,Android智能手机操作系统的漏洞是客观存在的(如同电脑操作系统,必然会存在漏洞),但利用这些漏洞来非法牟利远不如《每周质量报告》所说的探囊取物般容易,央视出于某种原因夸大了移动支付的风险,并藉此促进了iPhone手机的销量。

至于出于什么原因夸大该风险,我想结合最近Android他爸——谷歌被封,以及节目中专家提到的几个手机品牌和阿里上市,大家应该会有所感吧。