已被證實手機支付藏驚天漏洞

2013-11-23 21:52:50 北京晨報　點擊量：評論 (0)

近日不少媒體報道，用戶手機賬戶里的錢莫名被轉(zhuǎn)走，折射支付安全隱憂。在手機上使用第三方支付，僅需一個賬戶名+驗證碼便可重置密碼，這是個驚天漏洞。11月18日，北京晨報記者從安全專家口中證實，已研究發(fā)現(xiàn)

近日不少媒體報道，用戶手機賬戶里的錢“莫名”被轉(zhuǎn)走，折射支付安全隱憂。在手機上使用第三方支付，僅需一個“賬戶名+驗證碼”便可重置密碼，這是個驚天漏洞。11月18日，北京晨報記者從安全專家口中證實，已研究發(fā)現(xiàn)大量截獲“驗證碼”的木馬。它的出現(xiàn)，意味著手機支付防線開始破裂。

“驗證碼大盜”成災

大量用戶被盜刷

今年5月，金山反病毒工程師李鐵軍抓到一款色情軟件，能自動攔截“手機驗證碼”，他很疑惑，它用這個功能要干什么。10月份，木馬樣本越來越多，幾乎已成災。又有華西都市報、信息時報、金陵晚報先后報道，不少用戶賬戶里的錢“莫名”被轉(zhuǎn)走。

直覺告訴李鐵軍，這可能與“驗證碼大盜”有關(guān)。“我又回過頭往病毒庫找樣本，結(jié)果一找，發(fā)現(xiàn)了20個木馬作者的郵箱，里面記錄著大量的盜刷記錄！”

每個郵件數(shù)量不等，少的幾十封，多的幾百封，木馬攔截短信后，直接把它們轉(zhuǎn)發(fā)到作者郵箱。內(nèi)容多是受害者的身份證、手機號等，還有一些驗證碼記錄，比如重置密碼、開通快捷銀行、付款。

11月初，奇虎360宣布發(fā)現(xiàn)類似樣本，其工程師向北京晨報記者表示，它的傳播渠道有兩種，“一種是不正規(guī)的安卓應用市場、下載站、論壇等，二是一對一發(fā)送，常見有冒充淘寶買家給賣家發(fā)送圖片，誘導其掃描下載。”

漏洞指向第三方支付 “修改密碼”門檻太低

許多用戶可能有點蒙，攔截一個“驗證碼”而已，怎么就能把賬戶里的錢轉(zhuǎn)走？李鐵軍向記者做了演示：先用釣魚方式獲取賬戶名，再以“找回密碼”為由修改新密碼。“目前研究的樣本中，木馬獲取密碼的唯一方式就是找回密碼。”

大致過程為：“淘寶買家”向賣家發(fā)送二維碼，對方掃描后會彈出一個頁面：“網(wǎng)絡突然中斷，需要您填寫下賬戶名”，中招后，“買家”跟支付寶申請“我忘記密碼”，支付寶會發(fā)送“手機驗證碼”確認，“買家”用木馬把它攔截，轉(zhuǎn)發(fā)到自己郵箱，之后盜刷支付寶便如探囊取物。

“修改密碼”一直是支付安全的核心環(huán)節(jié)，歷來被銀行重視。北京晨報記者了解到，在PC端支付，銀行曾采用U盾硬加密，后來手機流行，為簡化環(huán)節(jié)推出“快捷支付”，無需U盾輸入“驗證碼”即可，但在“修改密碼”環(huán)節(jié)，銀行一直未降低門檻：需要到線下網(wǎng)點辦理。

北京晨報記者親測中國建設銀行手機端，嘗試修改密碼，需要持有效身份證件及注冊手機銀行的賬戶，去柜臺辦理相關(guān)手續(xù)。而第三方支付修改密碼確只需“用戶名+驗證碼”，這更意味著木馬獲知賬戶名即獲知密碼，在推出手機綁定服務后，目前絕大多數(shù)用戶已將賬戶與手機號進行了綁定，這更增加了盜號風險。

電商質(zhì)疑盜號可行性

稱發(fā)生概率很低

北京晨報記者就該漏洞，向國內(nèi)擁有第三方支付牌照的電商反映，得到的一致回復是：發(fā)生概率很小。蘇寧易購一位負責支付工作人員表示，此前只有過用戶SIM卡被復制盜刷的情況，“攔截驗證碼”的方式，還是第一次聽說。

支付寶相關(guān)負責人則表示，通過“攔截驗證碼”找回密碼的方式，在支付寶不可行。“我們不僅是看驗證碼，還會要求它的身份證號。另外，若后臺識別出用戶可能在危險環(huán)境下，會進一步提高修改密碼門檻。”

但記者親測發(fā)現(xiàn)，該說法與事實不符：無需身份證，只需賬戶名+驗證碼。申請“忘記密碼”后，記者僅需輸入賬戶名——選擇“手機校驗碼”（30分鐘內(nèi)有效）——收到支付寶的短信，隨后便能修改新密碼，整個過程不超過2分鐘。

對于此類盜號木馬，國內(nèi)一電商負責金融的工作人員作出評價，目前用戶支付信息只會存在兩個地方，一個是銀行，一個是第三方支付公司。相比之下，銀行盜刷難度較大，“除非你丟手機的同時，銀行卡也丟了。”

晨報記者王方