移动支付：暗礁险滩之地？——为《每周质量报告》挑挑刺

移动支付：暗礁险滩之地？ 
——为《每周质量报告》挑挑刺

本文为《移动信息》约稿，版权全部，发行权归《移动信息》。严禁除《移动信息》及本文做者博客以外的任何网站转载！2014年6月23日声明。

6月15日，央视《每周质量报告》播放了一集节目《移动支付的隐忧》。这集节目一经播出，在读者们中当即引发了热烈的讨论。

该节目声称，Android智能手机存在漏洞，若是***设置一个公共钓鱼wifi，就有可能经过此漏洞盗取蹭网者的支付宝及银行卡帐户，从而盗刷存在里面的钱。

大多数读者一致认为，这个节目，很大程度上是在危言耸听。这个一直在传达“使用免费wifi不安全，可能被盗刷银行卡”观点的节目，主要糟点在哪呢？

咱们先来看看央视所说的盗号流程吧！

1,手机链接钓鱼wifi→2,wifi劫持网络流量→3，植入***，并root提权→4,读取手机隐私信息，并监视受害者手机输入，受害者一旦使用支付宝进行交易，就能获取登陆帐号密码和支付密码→5,***本身经过此帐号密码盗取受害者卡里的钱→6,经过***（多是其余***）拦截银行扣费提示并将此短信秘密转发到***手机上。

下面再来看看一位***为咱们提供的标准***流程：

1,手机链接钓鱼wifi→2,wifi劫持网络流量→3,诱使受害者往本身手机安装带有***的APP（前提是手机受害者本身root过），并root提权→4,读取手机隐私信息，并监视受害者手机输入，受害者一旦使用支付宝进行交易，就能获取登陆帐号密码和支付密码→5,***本身经过此帐号密码盗取受害者卡里的钱→6,经过***（多是其余***）拦截银行扣费提示并将此短信秘密转发到***手机上。

看出区别了吗？《每周质量报告》将最难也是最关键的一步轻描淡写地提过：诱使受害者往本身手机安装带有***的APP，而非***本身（主动）植入***。首先，诱使受害者安装***App这一步很不容易混蒙过关，稍微有警戒心的读者都会坚决果断的点击“取消”，除非那种很傻很天真的受害者会绝不怀疑的、愉快的依次点击“肯定”进行下载，而后点击“安装”，最后点击“打开”。若是真这么作的话，那么是否是他就打开了潘多拉盒子，噩梦今后开始了呢？

固然不是，由于这尚未完，若是顺利诱使受害者安装了***App，可是手机上没有root，没法获取最高权限的话，这个***仍是泥泞中的老虎，没办法发挥做用。可是假如***运气很好，受害者的手机已经root过，那么要怎么样才能让***运行起来呢？***第一次运行，获取root权限时屏幕绝对会有提示受害者，并询问赞成仍是拒绝的。若是受害者点了拒绝，那么这***一样不能发挥做用。若是点了赞成，那才真真的完了。可是一个会root手机的用户，可以傻傻地让来不不明的App获取root权限吗？显然不会。

移动支付，在目前来讲，安全系数是至关高的，可是什么事都有个万一，这是一个几率极低极低的事件。可是，这里有个质疑的地方。那个节目里的支付宝技术人员说几率是十万分之一，咱们很想知道，这十万分之一中有多少是因钓鱼wifi而产生的？并且央视在讲这一段时对移动支付绝口不提，也就是说，这十万分之一的风险多是在电脑上发生的，也多是在手机上发生的。咱们彻底有理由认定，央视是在偷换概念，夸大移动支付的风险。

并且，若是经过设置钓鱼wifi来进行犯罪，那么其一，同类型的报案确定会爆炸性地增加，而不是像央视“无独有偶”地这么点一句；其二，报案的受害者确定会多在一个地方（设置钓鱼wifi的地方）出没活动，追本溯源，这个wifi确定很是容易定位，犯罪嫌疑人也就很容易抓获；其三，央视虽说这种犯罪技术“并不高深”，但即使是这样，配置wifi什么的总会产生费用吧，***会拿盗刷得来的钱去干“购买游戏点卡”之类的很low的勾当吗？ 
一个在中国石化集团盈科公司作网络管理的高级工程师表示，若是公共wifi真有那么牛逼，那不是说，只要在局域网中的外网出口，把公司员工的信用卡啊，支付宝啊什么的就给破解了？！有这样的案例吗？还真没有据说过。

再者，若是移动支付有这么大并且这么明显的漏洞并且被桶出来了，那么做为漏洞策源地的互联网确定会沸反盈天，可是到目前为止，除了央视的相关报道，关于钓鱼wifi盗刷银行卡的消息在网上基本找不到。

总之，央视在这集节目中，不少地方都夸大事实了。

在相隔不久的时间内（6月20日），央视《焦点访谈》栏目一样报道了一种经过手机移动支付来盗刷银行卡的犯罪方式。但这种方式则是使用的诱使受害者点击安装短信中附带的App来盗取银行卡信息的，跟wifi没半毛钱关系。咱们再回过头看看《每周质量报告》片头那位受害者所述的状况，提到wifi了吗？天然是没有提到，央视引用的这些受害者信息，彻底是牵强附会。

因此，综合上述观点，咱们能够得出结论，Android智能手机操做系统的漏洞是客观存在的（如同电脑操做系统，必然会存在漏洞），但利用这些漏洞来非法牟利远不如《每周质量报告》所说的探囊取物般容易，央视出于某种缘由夸大了移动支付的风险，并藉此促进了iPhone手机的销量。

至于出于什么缘由夸大该风险，我想结合最近Android他爸——谷歌被封，以及节目中专家提到的几个手机品牌和阿里上市，你们应该会有所感吧。