Check Point專家點評移動支付 高回報及低技術門檻為安全軟肋

衆所周知手機已經深入中國百姓日常生活的方方面面，随着手機上網日益普及，網上支付及理财更成為最熱門的手機應用之一，網際網路安全領先廠商Check Point公司的專家指出，消費者在享受網上支付及網上銀行的便利的同時，也要提防其安全風險。

Check Point SandBlast Mobile移動安全研究員賀飛翔表示，當下的銀行木馬攻擊具有高回報、低技術門檻的特點。在過去的三個季度裡，Check Point的威脅情報發現，全球範圍内手機銀行木馬正在逐漸染指移動支付。

他指出，銀行木馬現在不再僅限于攻擊傳統的銀行手機用戶端。這類木馬開始攻擊任何具有支付功能的手機軟體。例如網絡購物、打車、酒店機票預訂等軟體。由于中國市場每天都在産生海量移動支付交易，即使攻擊成功率較低，攻擊者依然可以獲得可觀收入。是以該領域對網絡罪犯越發具有吸引力。

他表示：“值得注意的是，近年來黑色産業鍊呈現出職能細分的趨勢。銀行木馬使用及傳播者往往可以友善的從專業惡意軟體開發人員手中買入病毒。無需掌握複雜的技術知識，僅需簡單的加工，使用者就可以開始傳播、實施侵害。一方面，我們看到移動支付廠商（諸如支付寶、微信支付）在不斷加強支付端口自身的安全；另一方面，我們認為使用移動支付端口的第三方軟體以及使用者本身是反銀行木馬努力中不可忽視的兩個較薄弱環節。”

賀飛翔也指出，移動端的隐私問題也需要關注，廣告商及軟體開發商往往超範圍提取使用者關鍵個人資訊。個人資訊采集幾乎存在于所有日常手機應用中，而目前大多數亞洲國家沒有對廣告商收集個人資訊的行為在法律層面提出詳細可操作的規定和指引。在某些情況下，廣告商移動元件同時收集手機辨識碼IMEI、SIM卡序列号、手機号、手機目前位置等敏感資訊并不加處理直接上傳至伺服器。這些資料加以适當社工手段分分鐘可以把使用者手機變為間諜追蹤裝置。

他表示：“這種粗犷的收集手段給了黑客更多可以非法擷取敏感資料的管道。例如利用廣告元件自身漏洞來截取資訊、利用伺服器漏洞進入背景資料庫、或者和廣告商達成某種協定直接擷取資料。中國方面，政府近期開始實施網絡論壇發帖回帖實名制。不可否認，這一舉措保證了網絡空間和諧的氛圍，有效遏制了不文明行為。但是這一規定使得以往一些較低價值目标（比如知乎、微網誌等移動端）對于黑客來說變得更有攻擊價值。因為實名認證的需求，此類手機應用及背景伺服器需要傳輸甚至存儲個人證件資訊。”

根據中國網際網路資訊中心發表的最新一期《中國網際網路絡發展狀況統計報告》，截至2017年6月，中國手機網民規模達7.24億，其中網上支付的比例提升至68%，而手機支付使用者規模增長迅速，達到5.02億（69.4%）。

原文釋出時間為：2017年10月10日

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。