移动支付：暗礁险滩之地？——为《每周质量报告》挑挑刺

移动支付：暗礁险滩之地？ 
——为《每周质量报告》挑挑刺

本文为《移动信息》约稿，版权所有，发行权归《移动信息》。严禁除《移动信息》及本文作者博客之外的任何网站转载！2014年6月23日声明。

6月15日，央视《每周质量报告》播放了一集节目《移动支付的隐忧》。这集节目一经播出，在读者们中立即引起了热烈的讨论。

该节目声称，Android智能手机存在漏洞，如果黑客设置一个公共钓鱼wifi，就有可能通过此漏洞盗取蹭网者的支付宝及银行卡账户，从而盗刷存在里面的钱。

大多数读者一致认为，这个节目，很大程度上是在危言耸听。这个一直在传达“使用免费wifi不安全，可能被盗刷银行卡”观点的节目，主要糟点在哪呢？

我们先来看看央视所说的盗号流程吧！

1,手机连接钓鱼wifi→2,wifi劫持网络流量→3，植入木马，并root提权→4,读取手机隐私信息，并监视受害者手机输入，受害者一旦使用支付宝进行交易，就能获取登录账号密码和支付密码→5,黑客自己通过此账号密码盗取受害者卡里的钱→6,通过木马（可能是其他木马）拦截银行扣费提示并将此短信秘密转发到黑客手机上。

下面再来看看一位黑客为我们提供的标准攻击流程：

1,手机连接钓鱼wifi→2,wifi劫持网络流量→3,诱使受害者往自己手机安装带有木马的APP（前提是手机受害者自己root过），并root提权→4,读取手机隐私信息，并监视受害者手机输入，受害者一旦使用支付宝进行交易，就能获取登录账号密码和支付密码→5,黑客自己通过此账号密码盗取受害者卡里的钱→6,通过木马（可能是其他木马）拦截银行扣费提示并将此短信秘密转发到黑客手机上。

看出区别了吗？《每周质量报告》将最难也是最关键的一步轻描淡写地提过：诱使受害者往自己手机安装带有木马的APP，而非黑客自己（主动）植入木马。首先，诱使受害者安装木马App这一步很不容易混蒙过关，稍微有警惕心的读者都会毫不犹豫的点击“取消”，除非那种很傻很天真的受害者会毫不怀疑的、愉快的依次点击“确定”进行下载，然后点击“安装”，最后点击“打开”。如果真这么做的话，那么是不是他就打开了潘多拉盒子，噩梦从此开始了呢？

当然不是，因为这还没有完，如果顺利诱使受害者安装了木马App，但是手机上没有root，无法获取最高权限的话，这个木马还是泥泞中的老虎，没办法发挥作用。但是假如黑客运气很好，受害者的手机已经root过，那么要怎么样才能让木马运行起来呢？木马第一次运行，获取root权限时屏幕绝对会有提示受害者，并询问同意还是拒绝的。如果受害者点了拒绝，那么这木马同样不能发挥作用。如果点了同意，那才真真的完了。但是一个会root手机的用户，能够傻傻地让来不不明的App获取root权限吗？显然不会。

移动支付，在目前来说，安全系数是相当高的，但是什么事都有个万一，这是一个概率极低极低的事件。但是，这里有个质疑的地方。那个节目里的支付宝技术人员说概率是十万分之一，我们很想知道，这十万分之一中有多少是因钓鱼wifi而产生的？而且央视在讲这一段时对移动支付绝口不提，也就是说，这十万分之一的风险可能是在电脑上发生的，也可能是在手机上发生的。我们完全有理由认定，央视是在偷换概念，夸大移动支付的风险。

而且，如果通过设置钓鱼wifi来进行犯罪，那么其一，同类型的报案肯定会爆炸性地增长，而不是像央视“无独有偶”地这么点一句；其二，报案的受害者肯定会多在一个地方（设置钓鱼wifi的地方）出没活动，追本溯源，这个wifi肯定非常容易定位，犯罪嫌疑人也就很容易抓获；其三，央视虽然说这种犯罪技术“并不高深”，但即便是这样，配置wifi什么的总会产生费用吧，黑客会拿盗刷得来的钱去干“购买游戏点卡”之类的很low的勾当吗？ 
一个在中国石化集团盈科公司做网络管理的高级工程师表示，如果公共wifi真有那么牛逼，那不是说，只要在局域网中的外网出口，把公司员工的信用卡啊，支付宝啊什么的就给破解了？！有这样的案例吗？还真没有听说过。

再者，如果移动支付有这么大而且这么明显的漏洞而且被桶出来了，那么作为漏洞策源地的互联网肯定会沸反盈天，但是到目前为止，除了央视的相关报道，关于钓鱼wifi盗刷银行卡的消息在网上基本找不到。

总之，央视在这集节目中，很多地方都夸大事实了。

在相隔不久的时间内（6月20日），央视《焦点访谈》栏目同样报道了一种通过手机移动支付来盗刷银行卡的犯罪方式。但这种方式则是使用的诱使受害者点击安装短信中附带的App来盗取银行卡信息的，跟wifi没半毛钱关系。我们再回过头看看《每周质量报告》片头那位受害者所述的情况，提到wifi了吗？自然是没有提到，央视引用的这些受害者信息，完全是牵强附会。

所以，综合上述观点，我们可以得出结论，Android智能手机操作系统的漏洞是客观存在的（如同电脑操作系统，必然会存在漏洞），但利用这些漏洞来非法牟利远不如《每周质量报告》所说的探囊取物般容易，央视出于某种原因夸大了移动支付的风险，并藉此促进了iPhone手机的销量。

至于出于什么原因夸大该风险，我想结合最近Android他爸——谷歌被封，以及节目中专家提到的几个手机品牌和阿里上市，大家应该会有所感吧。

移动支付：暗礁险滩之地？——为《每周质量报告》挑挑刺,布布扣,bubuko.com