最新數(shù)據(jù)顯示，我國(guó)移動(dòng)支付用戶規(guī)模達(dá)到2.05億，半年度增長(zhǎng)率為63.4%，網(wǎng)民手機(jī)支付的使用比例已提升至38.9%，達(dá)5.27億。伴隨著消費(fèi)邁入移動(dòng)支付時(shí)代，越來(lái)越多的手機(jī)成為“第二錢包”，但移動(dòng)支付的安全性仍遭到不少質(zhì)疑。

   日前，360互聯(lián)網(wǎng)安全中心發(fā)布《2014年第二期中國(guó)移動(dòng)支付安全報(bào)告》，最重要的內(nèi)容是對(duì)目前安卓平臺(tái)上使用率較高的16家銀行的16款手機(jī)客戶端的安全性做了一次專業(yè)測(cè)評(píng)，指出國(guó)產(chǎn)多個(gè)手機(jī)銀行客戶端有多處可被黑客利用的安全隱患，并表示已將漏洞移交給銀行。

   專家提醒，用戶日常多些良好習(xí)慣和防范措施，可降低不少的安全隱患。

手機(jī)銀行客戶端存安全隱患

   360互聯(lián)網(wǎng)安全中心數(shù)據(jù)統(tǒng)計(jì)顯示，本次測(cè)評(píng)的16款手機(jī)客戶端軟件中，除了1家銀行之外，其他銀行的手機(jī)網(wǎng)銀客戶端軟件均存在盜版現(xiàn)象。

“測(cè)試的版本都是網(wǎng)上能下載到的最新版的銀行手機(jī)客戶端。”據(jù)360安全專家講到，測(cè)評(píng)的主要內(nèi)容包括登錄機(jī)制安全性、鍵盤輸入安全性、Activity組件安全性、進(jìn)程注入防護(hù)、反盜版能力和認(rèn)證因素安全性這6個(gè)主要方面的8項(xiàng)具體測(cè)試，“是非常全面的一次安全性測(cè)評(píng)。”

   記者在報(bào)告中看到，這16款最新版本的銀行手機(jī)客戶端僅個(gè)別APP在登錄、鍵盤輸入環(huán)節(jié)安全性較高，但在后面幾項(xiàng)關(guān)鍵性測(cè)評(píng)中所有APP都拿了零分。“為避免具體測(cè)試方法和銀行客戶端漏洞被人惡意利用，我們暫時(shí)不會(huì)公開(kāi)每個(gè)銀行客戶端的具體測(cè)評(píng)結(jié)果及敏感測(cè)試細(xì)節(jié)。”360有關(guān)負(fù)責(zé)人官方表示，目前秘密報(bào)告已經(jīng)提交給了各家銀行，也會(huì)做后續(xù)跟進(jìn)。

   有專家表示，手機(jī)銀行客戶端作為網(wǎng)上支付的重要工具， 其自身的安全性是網(wǎng)民賬戶、資金安全的基礎(chǔ)。“目前手機(jī)銀行客戶端軟件采用的多是‘賬號(hào)密碼+短信驗(yàn)證碼’的認(rèn)證體系，在面對(duì)具有短信劫持功能的手機(jī)木馬攻擊時(shí)，都顯得非常脆弱。”這位安全專家直言，雖然已經(jīng)有部分銀行開(kāi)始推廣音頻盾、藍(lán)牙盾等雙因素認(rèn)證系統(tǒng)，但這些系統(tǒng)的使用不是強(qiáng)制性的，絕大多數(shù)用戶仍在使用“賬號(hào)密碼+短信驗(yàn)證碼”的認(rèn)證方式。“一旦被可短信劫持的木馬感染，這種雙重保險(xiǎn)依舊存在安全隱患。”“更可怕的是，一款惡意程序甚至可以同時(shí)監(jiān)測(cè)、仿冒和劫持多個(gè)銀行客戶端的登錄界面。”該專家表示，根據(jù)報(bào)告測(cè)評(píng)結(jié)果顯示，在16款手機(jī)銀行客戶端軟件中，沒(méi)有任何一款客戶端能單獨(dú)解決這類問(wèn)題。

   此外，360互聯(lián)網(wǎng)安全中心數(shù)據(jù)統(tǒng)計(jì)顯示，本次測(cè)評(píng)的16款手機(jī)客戶端軟件中，除了1家銀行之外，其他銀行的手機(jī)網(wǎng)銀客戶端軟件均存在盜版現(xiàn)象。

移動(dòng)支付注意加強(qiáng)防范

   目前各大銀行的官方網(wǎng)站上都會(huì)有手機(jī)APP的下載入口，同時(shí)用戶還應(yīng)及時(shí)為手機(jī)系統(tǒng)打上安全補(bǔ)丁以阻止木馬入侵，或安裝安全軟件。

   據(jù)報(bào)告顯示，正版下載量越高的網(wǎng)銀App，盜版版本數(shù)也相對(duì)較多，個(gè)別客戶端甚至有20個(gè)以上的盜版版本。“用戶最好從正確的渠道下載支付軟件。”某銀行電子銀行部門工作人員表示，目前各大銀行的官方網(wǎng)站上都會(huì)有手機(jī)APP的下載入口，一些銀行還有相應(yīng)的業(yè)務(wù)指南、開(kāi)通流程和演示頁(yè)面，用戶可通過(guò)銀行的官方渠道下載手機(jī)APP，避免盜版版本的侵害。“同時(shí)，用戶還應(yīng)及時(shí)為手機(jī)系統(tǒng)打上安全補(bǔ)丁以阻止木馬入侵，或安裝安全軟件，在木馬裝進(jìn)手機(jī)之前將其查殺。如發(fā)現(xiàn)問(wèn)題后，第一時(shí)間致電銀行客服熱線進(jìn)行封鎖賬戶或掛失等相關(guān)補(bǔ)救措施。” 某銀行電子銀行部門工作人員稱。

   除從下載軟件渠道防范手機(jī)支付風(fēng)險(xiǎn)外，用戶日常的使用習(xí)慣還需多加注意，一些良好的習(xí)慣同樣能減少你手機(jī)支付的安全隱患。“日常要養(yǎng)成良好的手機(jī)使用習(xí)慣。”有銀行人士表示，目前國(guó)內(nèi)的移動(dòng)支付仍處在發(fā)展起步階段，只要安全性能得到保障，移動(dòng)支付的便捷性一定會(huì)讓移動(dòng)支付有更大的應(yīng)用空間。就現(xiàn)在發(fā)現(xiàn)的一些隱患問(wèn)題主要還是市民安全意識(shí)不強(qiáng)，所以，用戶安全地使用手機(jī)支付從良好習(xí)慣出發(fā)。“不要輕信陌生人發(fā)來(lái)的二維碼信息，同時(shí)最好保持設(shè)置手機(jī)開(kāi)機(jī)密碼的習(xí)慣，并使用數(shù)字證書(shū)、寶令、支付盾、手機(jī)動(dòng)態(tài)口令等安全必備產(chǎn)品。”該人士強(qiáng)調(diào)，目前很多騙子通過(guò)偽基站技術(shù)可以將所發(fā)信號(hào)碼偽裝成銀行官方客服號(hào)碼。因此，即使是銀行官方客服號(hào)碼發(fā)來(lái)的類似短信，也不要輕信。“如果收到此類短信后自己有擔(dān)憂，也一定不要直接撥打短信中留下的聯(lián)系電話，而是要通過(guò)銀行官方客服進(jìn)行咨詢。”

   專家還建議，用戶不要在手機(jī)上安裝來(lái)歷不明、可能有危險(xiǎn)的程序，同時(shí)還應(yīng)設(shè)置敏感應(yīng)用的訪問(wèn)密碼；如遇手機(jī)遺失，立馬遠(yuǎn)程銷毀手機(jī)數(shù)據(jù)。此外，用戶也應(yīng)盡量減少個(gè)人信息泄露，尤其是手機(jī)號(hào)、身份證號(hào)、電子郵箱等敏感信息，避免不必要的泄露。