您好，分享的企鹅
手机支付存安全隐患 免费WIFI或为黑客陷阱
手机支付，火了！刚刚过去的春节，火的不仅是微信红包，更是其背后的第三方移动支付。以支付宝、微信财付通为代表，第三方移动支付的应用场景不断拓展，其便捷化特征也日益突出：早上睁眼拿起手机看理财收益，出门在便利店用条码支付“刷”了早餐，然后用软件打车连带付款，中午吃饭用手机和同事AA付了款，下午茶的间隙点几下屏幕，家里的水电煤气费也缴清了，晚上想电影找个APP买票付费。购物、打车、水电费缴纳、AA收款……只要拿出手机“按两下”或“刷一下”，几乎在拇指游走中衣食住行各方面的消费都可全部搞定。根据艾瑞数据显示，2013年中国第三方移动支付市场交易规模达1.2万亿元。其中，转账、还款等个人应用成为主要的交易规模来源，移动网购已不再是支撑行业发展的主要场景。分析认为，第三方移动支付仍有较大空间。手机支付，安全吗？随着国内手机支付市场的井喷式增长，信息泄露、病毒侵袭等诸多安全隐患正逐渐暴露。腾讯移动安全实验室日前发布《2013年手机安全报告》指出，2013年新增手机病毒包数是2012年的4.47倍，腾讯手机管家用户举报垃圾短信达到7.39亿条，是2012年全年总量的2.4倍。报告称，手机支付类病毒猛增，对移动支付安全造成了严重威胁。尤其是对于用户而言，移动支付安全引人担忧。除了常见的虚假账号、手机木马、钓鱼网站、恶意应用等带来安全隐患，此前支付宝、“来往”等均有用户数据被泄露或倒卖。用手机取代传统的钱包，资金安全仍需加强技术防控和监管。小贴士：“五要四不要” 看好你的钱包！“五要”一、要支付应实名认证。一方面可以增加服务功能，另一方面安全性也更高。尤其是重置密码时，实名认证后的用户会要求验证更多的细节，提高了安全性。二、要给支付账户设置单独的、高安全级别的密码，给手机支付设置手势密码。三、要谨慎保管个人的身份证、银行卡、手机验证码等隐私信息。如涉及手机验证，绝对不能把手机验证码提供给任何人。四、要注意在丢失手机后应电话给运营商和支付服务商挂失。第一时间挂失SIM卡，以防被用于其他用途；如果有银行卡、支付宝等的绑定，也应该及时打电话给上述服务商，进行相关业务的冻结。五、要及时为手机系统打上安全补丁以有效阻止这类木马入侵。另外还要安装安全软件，在木马装进手机之前将其查杀。“四不要”一、不要随意点击好友发来的链接，尤其是提示下载手机应用的链接。在扫描二维码的时候，也一定要看清楚识别出来的内容，不安装不明文件。二、不要连接陌生Wi-Fi：一些没有设置密码的Wi-Fi实际上并不安全，有可能是黑客设置的陷阱。当手机通过其交易时，包括银行账号在内几乎所有隐私信息都可以被黑客轻易获取。三、不要随意下载安装手机应用：下载手机应用一定要通过正规渠道。目前已经出现不少窃取隐私的木马，可窃取到身份证号、银行卡号等信息。利用信息，骗子可以利用补办SIM卡的方式，通过手机网银盗取银行存款。四、不要越狱、不给手机乱装软件。下载支付应用客户端，必须在官方的软件商店或者软件官方网站下载，确保来源的安全。 (中国经济网)
正文已结束，您可以按alt+4进行评论
相关阅读：
看过本文的人还看了
读完这篇文章后，您心情如何？
[责任编辑：wyqqing]
热门搜索：
Copyright & 1998 - 2016 Tencent. All Rights Reserved我手机掉了
有类似黑客的人说可以找回我的手机
这可信吗？ - 相关问题 - 110网法律咨询
我手机掉了
有类似黑客的人说可以找回我的手机
这可信吗？
手机在马路上掉了警察可以帮忙找回来嘛
苹果手机被偷
可以报警找回吗
手机丢了 报警可以找回。 年前还丢了钱包 里面有现金和身份证
手机丢失，找移动公司人帮忙可以找回来吗？
您好，手机地铁站内丢的，还可以找回来吗
他说要卖手机，让我给他往支付宝里转账定金，转账之后他就不理我了，可以报警找回吗
我的支付宝钱被骗了，通过什么办法可以找回吗【买4G手机，选中国移动】
我的手机在学校被偷，学校可以帮我查看录像帮我找回手机吗
你好，我被人骗了5000块钱可以找回来么。是这样的，我在网上买手机，跟第1个谈下的，交了5000块钱，然后他又给我1个发货的号，他就连我删了，那个发货的却说交5000不行，还得交1万，我说不要了，你连钱退给我吧，他说你跟第1个人说去吧，现在怎么加都加不上他了。|||||||||||
最新播报：
手机上网安全需知：小心黑客钻进你的手机
　　智能手机带给我们不少便捷时，也带来不少问题，其中最重要的就是安全问题。人们现在还只是刚开始习惯用手机上网，对手机的防护意识相对来说依然淡薄。不妨问问，你的手机装了安全软件吗？
　　很多人的电脑已经安装了多种安全软件，但手机却没有装任何安全软件。事实上，相比电脑，手机的安全性更差，更容易遭遇黑客的光顾。
　　登录名与密码通常有关联性
　　目前来说，大多数人的私人信息仍只是习惯于存在电脑上，比如个人记录、银行信息等。很少有人会在手机上操作这些数据。然而我们没想到的是，经常在手机上登录电子邮箱和社交网站时使用的密码和用户名，很可能会跟你的银行账户相同，所以你保留在手机里的隐私并不会比电脑里的少。
　　如果你还经常使用手机支付的话，就更有必要在手机上安装安全防护应用，防止被黑客窃取资料，造成经济损失。
　　更为重要的是，你的手机上可能还会有家人和朋友的信息，当你的手机被黑客侵入的时候，他们也可能变成受害者。
　　最危险的是短信与通话记录
　　据某知名安全公司的首席技术官尤瓦尔·本·伊扎克介绍，当智能手机接入互联网后，暴露在危险最前端的，就是通话记录和短信。手机对于这两项的安全保护是最差的，可以说“几乎没有任何防御”，黑客可以轻松地通过网络窃取到你短信的信息，甚至控制你的手机发送短信。
　　2011年在拉斯维加斯举行的“全球安全会议”上曾发布过这样的报告：现在黑客不会用你的信用卡或者储蓄卡提现或是直接用来购买奢侈物品，这样很容易被发现并被抓获。他们现在的做法更加隐秘，并且更方便打“法律的擦边球”——被发现后，你甚至不会想要起诉他。比如通过让你在不知不觉中订阅每月3元的短信服务。
　　不要小看这3元钱，由于黑客可以轻易侵入你的手机，所以他可以控制数量巨大的用户来订阅这项服务，于是他的这项收入整个金额数相比以前的“盗用”，只会更加巨大。
　　联网即透露你的实际地址
　　更值得我们注意的是，当你通过WiFi和蓝牙连接网络时，黑客就算不盗取你的银行信息，也会成功获取你的实际地址，然后出售给其他商家，于是你就会被淹没在广告的海洋中。
　　正是因为这些原因，当我们无需网络支持的时候，关闭蓝牙、WiFi和移动网络也是杜绝被黑客入侵的最好方法。
　　总之，手机上一定要安装安全软件，这样可以避免黑客盗取你的信息。尤其是老年人，在根本“玩不转”智能手机的情况下，哪里还会想到再装个安全软件。所以已有警觉意识的年轻人，除了自己的手机要尽可能安全使用，最好也教教老年人如何安全使用智能手机，以免造成信息泄露。
[责任编辑：黑客是如何远程攻破你的Android手机的
&&你走进一个咖啡店坐下来。等咖啡的时候，你拿出你的智能手机开始玩一款你前些天下载的游戏。接着，你继续工作并且在电梯里收邮件。在你不知情下，有攻击者获取了公司网络的地址并且不断地感染你所有同事的智能手机。
等下， 什么？
我们在Bromium实验室博客上不会谈论Android太多。但是不时地我们喜欢修修补补。近来，我的同事Thomas Coudray 和我探索了下Android远程代码执行的易损性，想弄明白易损性在现实应用中是多大的问题。
尽管权限提升技术在Android上很普遍（并形成了&root&设备的惯例），但远程代码执行是一种罕见且危险得多的漏洞。它允许攻击者不经授权就在用户设备上执行特定代码。这个Bug特别另人关注，因为，即使在它被修复后过了18个月，在安装了所有补丁的最新型的Android设备上仍可被利用。我们想看看，如果这是真的，利用此漏洞需要付出多少努力。我们发现上述场景完全可能发生。
我们用了两种不同的方法研究此Bug。首先，我们尝试在类似公共WIFI的环境中利用它，也就是你可能在咖啡店中遇到到环境。我们启动了一些Android设备和廉价的网络设备，开始攻击。第二步是估计普通用户有多大的可能遇到这种最坏的情形。为此，我们使用了统计分析技术，看看有多少有漏洞的App和设备。
在开始细节之前，先了解一下此Bug的背景知识：
它始于2012年的Javascript在addJavascriptInterface API中的远程代码执行Bug，CVE-(详情见&此处&和&此处&）。此Bug允许Javascript代码获得访问系统的更大权限，这并非开发者的本意。至此，如此糟糕。&MWR&的研究人员在几个月后的&研究结果&显示有大量App使用了广告供应商的框架程序，而这些框架程序通常受此Bug影响而且还在运行时下载Javascript代码。
这些因素结合起来意味着，大量的App采用不安全的方式从互联网下载Javascript代码，因此恶意攻击者劫持下载并发动远程代码执行的攻击并不难。
还没修复？
Android 4.2修复了这个潜在的javascript漏洞。不幸的是，由于向后兼容的原因，修复只意味着在特定的场景中关闭了漏洞。现实中的Android版本碎片化和Android上的广告商业模式意味着这些场景并不常见。我们检查了Google Play上的100,000个APK文件，发现大约有12%即使运行在最新的Android设备上仍然有漏洞风险。
APK分析结果：一半没有漏洞风险，因为它们的目标SDK版本大于或等于17；剩下的31%没有使用存在漏洞的API；7%由于APK混淆或分析出错而没有分析。
另外，不管此漏洞是否被修复，&超过50%的&Android设备仍旧使用着低于4.2的版本。对于这些设备，没有修复程序，它们依旧存在漏洞风险。
为了修复成功，调用addJavascriptInterface的程序必须编译为API 17及以上，也就是说你的目标Android版本必须是4.2及以后的。为了兼容更多的设备，App和框架程序经常用尽可能低的API版本编译。重点就是即使运行在打了补丁程序的Android 4.2, 4.3或4.4的设备上，App仍存在漏洞攻击风险。
广告商业模式在Android中很流行：也就是App免费，开发者通过向用户展示广告而获得收入。在Android中，有超过50个不同的广告框架程序，这使得开发者很容易实现广告功能，事实上他们经常在App中使用不只一个广告框架程序。有的App发现使用了20个之多（见&此处&的图4）。这些框架程序大都有这种行为&&当app第一次运行时，它们通过HTTP下载javascript库。这也就是说App通常不安全地下载了未验证的javascript代码，而这些代码运行在可执行任意代码的环境中。[1]&&&&
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】