眾所周知手機(jī)已經(jīng)深入中國百姓日常生活的方方面面,隨著手機(jī)上網(wǎng)日益普及,網(wǎng)上支付及理財(cái)更成為最熱門的手機(jī)應(yīng)用之一,互聯(lián)網(wǎng)安全領(lǐng)先廠商Check Point公司的專家指出,消費(fèi)者在享受網(wǎng)上支付及網(wǎng)上銀行的便利的同時(shí),也要提防其安全風(fēng)險(xiǎn)。
Check Point SandBlast Mobile 移動(dòng)安全研究員賀飛翔表示,當(dāng)下的銀行木馬攻擊具有高回報(bào)、低技術(shù)門檻的特點(diǎn)。在過去的三個(gè)季度里,Check Point的威脅情報(bào)發(fā)現(xiàn),全球范圍內(nèi)手機(jī)銀行木馬正在逐步染指移動(dòng)支付。
他指出,銀行木馬現(xiàn)在不再僅限于攻擊傳統(tǒng)的銀行手機(jī)客戶端。這類木馬開始攻擊任何具有支付功能的手機(jī)軟件。例如網(wǎng)絡(luò)購物、打車、酒店機(jī)票預(yù)訂等軟件。由于中國市場(chǎng)每天都在產(chǎn)生海量移動(dòng)支付交易,即使攻擊成功率較低,攻擊者依然可以獲得可觀收入。因此該領(lǐng)域?qū)W(wǎng)絡(luò)罪犯越發(fā)具有吸引力。
他表示:"值得注意的是,近年來黑色產(chǎn)業(yè)鏈呈現(xiàn)出職能細(xì)分的趨勢(shì)。銀行木馬使用及傳播者往往可以方便的從專業(yè)惡意軟件開發(fā)人員手中買入病毒。無需掌握復(fù)雜的技術(shù)知識(shí),僅需簡(jiǎn)單的加工,使用者就可以開始傳播、實(shí)施侵害。一方面,我們看到移動(dòng)支付廠商(諸如支付寶、微信支付)在不斷加強(qiáng)支付端口自身的安全;另一方面,我們認(rèn)為使用移動(dòng)支付端口的第三方軟件以及用戶本身是反銀行木馬努力中不可忽視的兩個(gè)較薄弱環(huán)節(jié)。"
賀飛翔也指出,移動(dòng)端的隱私問題也需要關(guān)注,廣告商及軟件開發(fā)商往往超范圍提取用戶關(guān)鍵個(gè)人信息。個(gè)人信息采集幾乎存在于所有日常手機(jī)應(yīng)用中, 而目前大多數(shù)亞洲國家沒有對(duì)廣告商收集個(gè)人信息的行為在法律層面提出詳細(xì)可操作的規(guī)定和指引。在某些情況下,廣告商移動(dòng)組件同時(shí)收集手機(jī)辨識(shí)碼IMEI、SIM卡序列號(hào)、手機(jī)號(hào)、手機(jī)當(dāng)前位置等敏感信息并不加處理直接上傳至服務(wù)器。這些數(shù)據(jù)加以適當(dāng)社工手段分分鐘可以把用戶手機(jī)變?yōu)殚g諜追蹤設(shè)備。
他表示:"這種粗獷的收集手段給了黑客更多可以非法獲取敏感數(shù)據(jù)的渠道。例如利用廣告組件自身漏洞來截取信息、利用服務(wù)器漏洞進(jìn)入后臺(tái)數(shù)據(jù)庫、或者和廣告商達(dá)成某種協(xié)議直接獲取數(shù)據(jù)。中國方面,政府近期開始實(shí)施網(wǎng)絡(luò)論壇發(fā)帖回帖實(shí)名制。不可否認(rèn),這一舉措保證了網(wǎng)絡(luò)空間和諧的氛圍,有效遏制了不文明行為。但是這一規(guī)定使得以往一些較低價(jià)值目標(biāo)(比如知乎、微博等移動(dòng)端)對(duì)于黑客來說變得更有攻擊價(jià)值。因?yàn)閷?shí)名認(rèn)證的需求,此類手機(jī)應(yīng)用及后臺(tái)服務(wù)器需要傳輸甚至存儲(chǔ)個(gè)人證件信息。"
根據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)表的最新一期《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》,截至2017年6月,中國手機(jī)網(wǎng)民規(guī)模達(dá)7.24億,其中網(wǎng)上支付的比例提升至68%,而手機(jī)支付用戶規(guī)模增長迅速,達(dá)到5.02億(69.4%)。
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動(dòng)設(shè)備的安全保護(hù),以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護(hù)。
