2014年,手机支付安全的状况越加不容乐观。而Android系统漏洞却加剧了这一现状。
2014年2月18日,国内漏洞报告平台乌云公布紧急预警称,淘宝和支付宝认证被爆存在安全缺陷,黑客能够简单利用该漏洞登陆他人淘宝/支付宝账号进行操作,不清楚是否影响剩余金额宝等业务。
2013年7月底,国家互联网应急中心公布信息,Android操作系统存在一个签名验证绕过的高危漏洞即Masterkey漏洞(Android签名漏洞)。
正常情况下。每一个Android应用程序都会有一个数字签名,来保证应用程序在发行过程中不被篡改,但黑客能够在不破坏正常APP程序和签名证书的情况下。向正常APP中植入恶意程序。并利用正常APP的签名证书逃避Android系统签名验证。而利用该签名漏洞的扣费木马可寄生于正常APP中, 进而针对捆绑手机用户进行恶意扣费,并向用户联系人发送恶意软件下载推荐短信,在Android系统中,MasterKey漏洞是最为常见的一个,黑客们能够通过这个漏洞绕过系统认证安装手机病毒或恶意软件。进一步操控用户的Android系统及他们的设备。
因此Android签名漏洞对移动支付安全性的威胁在于,黑客能够利用这个漏洞,对正版手机购物、第三方支付、银行、电商类等手机client进行篡改,植入恶意程序,而篡改之后的程序的数字签名不发生改变,对手机支付购物类的账号password与资金造成严重威胁。
2013年9月,在乌云漏洞平台,被曝出多款Android应用出现严重手机挂马漏洞现象。黑客通过受漏洞影响的应用或短信、聊天消息发送一个网址,仅仅要用户点击网友发过来的挂马链接。都有可能中招。
接着手机就会自己主动运行黑客指令。出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。国内几大知名的手机浏览器APP等都受此漏洞影响,包含手机QQ浏览器、猎豹浏览器等最新版本号浏览器已经修复该漏洞。
8诈骗短信、骚扰电话与支付风险
截止到2014年第一季度,垃圾短累计举报数接近12.29亿条。
当中,在2014年第一季度,广告类垃圾短信占比82.09%、诈骗类垃圾短信占比10.57%、违法类垃圾短信占比3.01%、其它类占比4.34%。
截止到2014年第一季度。骚扰电话累计标记总次数为1.48亿次。当中。在2014年第一季度用户标记的骚扰电话类型中。广告推销为20.79%、诈骗电话为18.99%、房产中介占比为16.3%、保险理財为14.69%、标记为其它类型的占比29.23%。