移動支付：暗礁險灘之地？——爲《每週質量報告》挑挑刺

移動支付：暗礁險灘之地？ 
——爲《每週質量報告》挑挑刺

本文爲《移動信息》約稿，版權全部，發行權歸《移動信息》。嚴禁除《移動信息》及本文做者博客以外的任何網站轉載！2014年6月23日聲明。

6月15日，央視《每週質量報告》播放了一集節目《移動支付的隱憂》。這集節目一經播出，在讀者們中當即引發了熱烈的討論。

該節目聲稱，Android智能手機存在漏洞，若是***設置一個公共釣魚wifi，就有可能經過此漏洞盜取蹭網者的支付寶及銀行卡帳戶，從而盜刷存在裏面的錢。

大多數讀者一致認爲，這個節目，很大程度上是在危言聳聽。這個一直在傳達「使用免費wifi不安全，可能被盜刷銀行卡」觀點的節目，主要糟點在哪呢？

咱們先來看看央視所說的盜號流程吧！

1,手機鏈接釣魚wifi→2,wifi劫持網絡流量→3，植入***，並root提權→4,讀取手機隱私信息，並監視受害者手機輸入，受害者一旦使用支付寶進行交易，就能獲取登陸帳號密碼和支付密碼→5,***本身經過此帳號密碼盜取受害者卡里的錢→6,經過***（多是其餘***）攔截銀行扣費提示並將此短信祕密轉發到***手機上。

下面再來看看一位***爲咱們提供的標準***流程：

1,手機鏈接釣魚wifi→2,wifi劫持網絡流量→3,誘使受害者往本身手機安裝帶有***的APP（前提是手機受害者本身root過），並root提權→4,讀取手機隱私信息，並監視受害者手機輸入，受害者一旦使用支付寶進行交易，就能獲取登陸帳號密碼和支付密碼→5,***本身經過此帳號密碼盜取受害者卡里的錢→6,經過***（多是其餘***）攔截銀行扣費提示並將此短信祕密轉發到***手機上。

看出區別了嗎？《每週質量報告》將最難也是最關鍵的一步輕描淡寫地提過：誘使受害者往本身手機安裝帶有***的APP，而非***本身（主動）植入***。首先，誘使受害者安裝***App這一步很不容易混蒙過關，稍微有警戒心的讀者都會堅決果斷的點擊「取消」，除非那種很傻很天真的受害者會絕不懷疑的、愉快的依次點擊「肯定」進行下載，而後點擊「安裝」，最後點擊「打開」。若是真這麼作的話，那麼是否是他就打開了潘多拉盒子，噩夢今後開始了呢？

固然不是，由於這尚未完，若是順利誘使受害者安裝了***App，可是手機上沒有root，沒法獲取最高權限的話，這個***仍是泥濘中的老虎，沒辦法發揮做用。可是假如***運氣很好，受害者的手機已經root過，那麼要怎麼樣才能讓***運行起來呢？***第一次運行，獲取root權限時屏幕絕對會有提示受害者，並詢問贊成仍是拒絕的。若是受害者點了拒絕，那麼這***一樣不能發揮做用。若是點了贊成，那才真真的完了。可是一個會root手機的用戶，可以傻傻地讓來不不明的App獲取root權限嗎？顯然不會。

移動支付，在目前來講，安全係數是至關高的，可是什麼事都有個萬一，這是一個機率極低極低的事件。可是，這裏有個質疑的地方。那個節目裏的支付寶技術人員說機率是十萬分之一，咱們很想知道，這十萬分之一中有多少是因釣魚wifi而產生的？並且央視在講這一段時對移動支付絕口不提，也就是說，這十萬分之一的風險多是在電腦上發生的，也多是在手機上發生的。咱們徹底有理由認定，央視是在偷換概念，誇大移動支付的風險。

並且，若是經過設置釣魚wifi來進行犯罪，那麼其一，同類型的報案確定會爆炸性地增加，而不是像央視「無獨有偶」地這麼點一句；其二，報案的受害者確定會多在一個地方（設置釣魚wifi的地方）出沒活動，追本溯源，這個wifi確定很是容易定位，犯罪嫌疑人也就很容易抓獲；其三，央視雖說這種犯罪技術「並不高深」，但即使是這樣，配置wifi什麼的總會產生費用吧，***會拿盜刷得來的錢去幹「購買遊戲點卡」之類的很low的勾當嗎？ 
一個在中國石化集團盈科公司作網絡管理的高級工程師表示，若是公共wifi真有那麼牛逼，那不是說，只要在局域網中的外網出口，把公司員工的信用卡啊，支付寶啊什麼的就給破解了？！有這樣的案例嗎？還真沒有據說過。

再者，若是移動支付有這麼大並且這麼明顯的漏洞並且被桶出來了，那麼做爲漏洞策源地的互聯網確定會沸反盈天，可是到目前爲止，除了央視的相關報道，關於釣魚wifi盜刷銀行卡的消息在網上基本找不到。

總之，央視在這集節目中，不少地方都誇大事實了。

在相隔不久的時間內（6月20日），央視《焦點訪談》欄目一樣報道了一種經過手機移動支付來盜刷銀行卡的犯罪方式。但這種方式則是使用的誘使受害者點擊安裝短信中附帶的App來盜取銀行卡信息的，跟wifi沒半毛錢關係。咱們再回過頭看看《每週質量報告》片頭那位受害者所述的狀況，提到wifi了嗎？天然是沒有提到，央視引用的這些受害者信息，徹底是牽強附會。

因此，綜合上述觀點，咱們能夠得出結論，Android智能手機操做系統的漏洞是客觀存在的（如同電腦操做系統，必然會存在漏洞），但利用這些漏洞來非法牟利遠不如《每週質量報告》所說的探囊取物般容易，央視出於某種緣由誇大了移動支付的風險，並藉此促進了iPhone手機的銷量。

至於出於什麼緣由誇大該風險，我想結合最近Android他爸——谷歌被封，以及節目中專家提到的幾個手機品牌和阿里上市，你們應該會有所感吧。