移动支付:暗礁险滩之地?——为《每周质量报告》挑挑刺

移动支付:暗礁险滩之地? 
——为《每周质量报告》挑挑刺

本文为《移动信息》约稿,版权所有,发行权归《移动信息》。严禁除《移动信息》及本文作者博客之外的任何网站转载!2014年6月23日声明。

6月15日,央视《每周质量报告》播放了一集节目《移动支付的隐忧》。这集节目一经播出,在读者们中立即引起了热烈的讨论。

该节目声称,Android智能手机存在漏洞,如果黑客设置一个公共钓鱼wifi,就有可能通过此漏洞盗取蹭网者的支付宝及银行卡账户,从而盗刷存在里面的钱。

大多数读者一致认为,这个节目,很大程度上是在危言耸听。这个一直在传达“使用免费wifi不安全,可能被盗刷银行卡”观点的节目,主要糟点在哪呢?

我们先来看看央视所说的盗号流程吧!

1,手机连接钓鱼wifi→2,wifi劫持网络流量→3,植入木马,并root提权→4,读取手机隐私信息,并监视受害者手机输入,受害者一旦使用支付宝进行交易,就能获取登录账号密码和支付密码→5,黑客自己通过此账号密码盗取受害者卡里的钱→6,通过木马(可能是其他木马)拦截银行扣费提示并将此短信秘密转发到黑客手机上。

下面再来看看一位黑客为我们提供的标准攻击流程:

1,手机连接钓鱼wifi→2,wifi劫持网络流量→3,诱使受害者往自己手机安装带有木马的APP(前提是手机受害者自己root过),并root提权→4,读取手机隐私信息,并监视受害者手机输入,受害者一旦使用支付宝进行交易,就能获取登录账号密码和支付密码→5,黑客自己通过此账号密码盗取受害者卡里的钱→6,通过木马(可能是其他木马)拦截银行扣费提示并将此短信秘密转发到黑客手机上。

看出区别了吗?《每周质量报告》将最难也是最关键的一步轻描淡写地提过:诱使受害者往自己手机安装带有木马的APP,而非黑客自己(主动)植入木马。首先,诱使受害者安装木马App这一步很不容易混蒙过关,稍微有警惕心的读者都会毫不犹豫的点击“取消”,除非那种很傻很天真的受害者会毫不怀疑的、愉快的依次点击“确定”进行下载,然后点击“安装”,最后点击“打开”。如果真这么做的话,那么是不是他就打开了潘多拉盒子,噩梦从此开始了呢?

当然不是,因为这还没有完,如果顺利诱使受害者安装了木马App,但是手机上没有root,无法获取最高权限的话,这个木马还是泥泞中的老虎,没办法发挥作用。但是假如黑客运气很好,受害者的手机已经root过,那么要怎么样才能让木马运行起来呢?木马第一次运行,获取root权限时屏幕绝对会有提示受害者,并询问同意还是拒绝的。如果受害者点了拒绝,那么这木马同样不能发挥作用。如果点了同意,那才真真的完了。但是一个会root手机的用户,能够傻傻地让来不不明的App获取root权限吗?显然不会。

移动支付,在目前来说,安全系数是相当高的,但是什么事都有个万一,这是一个概率极低极低的事件。但是,这里有个质疑的地方。那个节目里的支付宝技术人员说概率是十万分之一,我们很想知道,这十万分之一中有多少是因钓鱼wifi而产生的?而且央视在讲这一段时对移动支付绝口不提,也就是说,这十万分之一的风险可能是在电脑上发生的,也可能是在手机上发生的。我们完全有理由认定,央视是在偷换概念,夸大移动支付的风险。

而且,如果通过设置钓鱼wifi来进行犯罪,那么其一,同类型的报案肯定会爆炸性地增长,而不是像央视“无独有偶”地这么点一句;其二,报案的受害者肯定会多在一个地方(设置钓鱼wifi的地方)出没活动,追本溯源,这个wifi肯定非常容易定位,犯罪嫌疑人也就很容易抓获;其三,央视虽然说这种犯罪技术“并不高深”,但即便是这样,配置wifi什么的总会产生费用吧,黑客会拿盗刷得来的钱去干“购买游戏点卡”之类的很low的勾当吗? 
一个在中国石化集团盈科公司做网络管理的高级工程师表示,如果公共wifi真有那么牛逼,那不是说,只要在局域网中的外网出口,把公司员工的信用卡啊,支付宝啊什么的就给破解了?!有这样的案例吗?还真没有听说过。

再者,如果移动支付有这么大而且这么明显的漏洞而且被桶出来了,那么作为漏洞策源地的互联网肯定会沸反盈天,但是到目前为止,除了央视的相关报道,关于钓鱼wifi盗刷银行卡的消息在网上基本找不到。

总之,央视在这集节目中,很多地方都夸大事实了。

在相隔不久的时间内(6月20日),央视《焦点访谈》栏目同样报道了一种通过手机移动支付来盗刷银行卡的犯罪方式。但这种方式则是使用的诱使受害者点击安装短信中附带的App来盗取银行卡信息的,跟wifi没半毛钱关系。我们再回过头看看《每周质量报告》片头那位受害者所述的情况,提到wifi了吗?自然是没有提到,央视引用的这些受害者信息,完全是牵强附会。

所以,综合上述观点,我们可以得出结论,Android智能手机操作系统的漏洞是客观存在的(如同电脑操作系统,必然会存在漏洞),但利用这些漏洞来非法牟利远不如《每周质量报告》所说的探囊取物般容易,央视出于某种原因夸大了移动支付的风险,并藉此促进了iPhone手机的销量。

至于出于什么原因夸大该风险,我想结合最近Android他爸——谷歌被封,以及节目中专家提到的几个手机品牌和阿里上市,大家应该会有所感吧。

移动支付:暗礁险滩之地?——为《每周质量报告》挑挑刺,布布扣,bubuko.com

时间: 2024-10-15 06:02:06

移动支付:暗礁险滩之地?——为《每周质量报告》挑挑刺的相关文章

软件测试结果分析和质量报告

如同代码是程序员的成果之一,测试报告和质量报告是测试人员的主要成果之一.对于一个好的测试报告,是建立在正确的.足够的测试结果的基础之上,不仅要提供必要的测试结果的实际数据,同时要对结果进行分析,发现产品中问题的本质,对产品质量进行准确的评估. 1.缺陷分析 对缺陷进行分析,确定测试是否达到结束的标准,也就是判定测试是否已达到用户可接受的状态.在评估缺陷时应遵照缺陷分析策略中制定的分析标准,最常用的缺陷分析方法有: 缺陷分布报告,允许将缺陷计数作为一个或多个缺陷参数的函数来显示,生成缺陷数量与缺陷

每周例行报告

第二部分,每周例行报告

2nd 每周例行报告

每周例行报告 1.个人项目:词频统计更新 C类型 C内容 S开始时间 E结束时间 I间隔(min) T净时间(min) 分析 功能分析 8:30 10:00 20 70 学习 查阅资料 10:00 12:10 30 100 编码 实现并调试程序 12:10 16:40 60 210 测试 效能测试 16:40 18:50 10 120 文档 设计备注 18:50 19:30 5 35 2.结对项目:简单四则运算更新 C类型 C内容 S开始时间 E结束时间 I间隔 T净时间 分析 功能分析 8:3

Testin实验室发布国庆出行旅途类APP质量报告:携程力压去哪儿夺冠

Testin实验室发布国庆出行旅途类APP质量报告:携程力压去哪儿夺冠 2014/09/28 · Testin · 实验室报告 一年一度的十一黄金周即将临近,旅游软件成为每外出行人手机必装软件,为此全球最大的应用及游戏真机自动化云测试平台Testin云测旗下实验室(lab.testin.cn)精选10款热门旅游软件,从热度.兼容性.稳定性.用户体验等详细解读,希望给每一位旅人提供有价值的参考,让旅途更加便捷和精彩. Testin实验室精选携程.去哪儿.非常准.艺龙.途牛.铁友火车票.穷游.淘在路

Testin云测发布首份国内应用质量报告:半数APP平均启动时间不合格

Testin云测发布首份国内应用质量报告:半数APP平均启动时间不合格 2014/10/23 · Testin · 实验室报告 日前,Testin云测旗下质量管家Master通过随机取样1605款国内主流移动应用,在1258款主流移动设备进行了测试后,发布首份国内应用质量报告,显示1.59%的应用等待时间在3秒以上,平均CPU消耗为13.2%,2/3移动应用CPU占用率高出平均值,5%应用占用CPU高达30%. 数据显示,国内移动应用平均启动时间为2.75秒,近半数移动应用启动时间高于平均线(2

js实现不同城市空气质量报告显示柱形图

一,实现理论基础 (1)首先使用pageState这个对象记录当前页面的选项,根据不同选项来切换数据显示 (2)使用时期函数,随机生成测试数据 (3)使用innerHTML给页面实时添加渲染的内容图表 (4)使用随机数,生成随机的不同颜色给条形图 (5)使用title属性,来实现当鼠标移动到某个层面上,显示title内容的提示框 (6)使用事件代理将各个radio的变化事件函数,绑定到其父元素上 (7)使用new Date(item)).getDay() == 6来某一天是周几,如果是6,就说明

每周例行报告——第三周

<待完善> 项目:词频统计——单元测试  项目类型:个人项目 项目完成情况:已完成 项目日期:2016.9.26 项目改进:2016.9.27 C类别 C内容 S开始时间 E结束时间 I间隔 T净时间 P预计时间 分析 设计  10:20  10:30  0  10  20 学习 查阅资料  10:30  11:00  10  20  20 测试 练习Junit  13:20  15:00  10  90  180 编码 实现  15:30  17:00  0  90  120   改进  1

每周例行报告——第十一周

项目:词频统计 项目类型:个人项目 项目完成情况:已完成(暂无改动) 项目日期:- 项目改进:- 项目:四则运算 项目类型:结对项目 项目完成情况:已完成(暂无改动) 项目日期:- 项目改进:- 项目:"天天向上"连连看 项目类型:团队项目 项目完成情况:功能完善 项目日期:2016.11.26-2016.11.30 项目改进:- (此为每日大致时间) 2016.11.26-2016.11.27 C类别 C内容 S开始时间 E结束时间 I间隔 T净时间 P预计时间 分析 讨论  13:

第七周(10.27-11.03)----补交第六周(10.20-26)每周例行报告

PSP 日期 项目 内容 开始时间 结束时间 间断时间 净时间 2016.10.21 个人项目 总结psp 16:22 17:38 12 64 2016.10.22 个人项目 阅读spec 学习css 添加web功能 8:35 9:27 5 47 12:41 14:12 2 91 查阅代码,编写代码 20:52 21:48 13 41 进度条 项目 总计  代码行数  58 随笔字数 398 知识点 给网页添加背景 给网页字体改变字体,大小 累计曲线 饼图