央視：手機支付程式有安全漏洞

（中央社台北15日電）大陸中央電視台「每週質量報告」節目今天引述專家說，使用Android手機登入支付寶等網路第三方支付平台，因安全漏洞，容易被盜刷，呼籲當局強化程式安全的責任。

央視引述一份統計報告說，大陸2013年行動網路第三方支付市場規模超過人民幣1兆元（約新台幣5兆元），成長達556.7%。

不過，央視指出，最近接獲多地手機用戶反映，自己的支付寶等網路第三方支付平台遭人盜刷，且遭盜刷時也沒有收到銀行的提醒簡訊，安全出現漏洞。

北京清華大學網路科學與網路空間研究院網安實驗室副研究員、國家重大專項課題「Linux/Android操作系統安全漏洞檢測」研究小組負責人諸葛建偉在取得被盜刷用戶手機進行分析後發現，攻擊者只要設置一個釣魚的公共無線網路（Wi-Fi），可在Android手機用戶使用這個公共Wi-Fi時劫持手機，透過指定的電腦取得手機最高權限。

他說，攻擊者取得手機最高權限，就可任意植入惡意攻擊程式，當手機用戶用手機上網登入支付寶等進行消費時，攻擊者就在瀏覽器上植入木馬，取得用戶帳號、密碼、支付密碼等資料，同時透過攔截查知支付寶發給用戶的認證碼，並屏蔽銀行通知刷卡的簡訊。

此外，諸葛建偉表示，攻擊者還可在攻擊後抹除手機上的木馬程式和相關紀錄，讓警方無法追蹤查緝；且大陸主流安全防毒軟體，也對此全部失效。

他認為，這主要是支付寶手機應用軟體缺乏一些對抗逆向分析的機制，未能對已被攻擊者修改的支付寶程式進行驗證。

支付寶相關人員告訴央視，支付寶發生安全問題的概率約為十萬分之一，無法給予百分之百的保證。

報導最後引述警方談話說，要防止上述盜刷發生，除政府應強化相關程式商的安全責任外，用戶也要採取避免連接不明公共Wi-Fi等防範手段。1030615