最新數據顯示，我國移動(dòng)支付用戶(hù)規模達到2.05億，半年度增長(cháng)率為63.4%，網(wǎng)民手機支付的使用比例已提升至38.9%，達5.27億。伴隨著(zhù)消費邁入移動(dòng)支付時(shí)代，越來(lái)越多的手機成為“第二錢(qián)包”，但移動(dòng)支付的安全性仍遭到不少質(zhì)疑。

   日前，360互聯(lián)網(wǎng)安全中心發(fā)布《2014年第二期中國移動(dòng)支付安全報告》，最重要的內容是對目前安卓平臺上使用率較高的16家銀行的16款手機客戶(hù)端的安全性做了一次專(zhuān)業(yè)測評，指出國產(chǎn)多個(gè)手機銀行客戶(hù)端有多處可被黑客利用的安全隱患，并表示已將漏洞移交給銀行。

   專(zhuān)家提醒，用戶(hù)日常多些良好習慣和防范措施，可降低不少的安全隱患。

手機銀行客戶(hù)端存安全隱患

   360互聯(lián)網(wǎng)安全中心數據統計顯示，本次測評的16款手機客戶(hù)端軟件中，除了1家銀行之外，其他銀行的手機網(wǎng)銀客戶(hù)端軟件均存在盜版現象。

“測試的版本都是網(wǎng)上能下載到的最新版的銀行手機客戶(hù)端。”據360安全專(zhuān)家講到，測評的主要內容包括登錄機制安全性、鍵盤(pán)輸入安全性、Activity組件安全性、進(jìn)程注入防護、反盜版能力和認證因素安全性這6個(gè)主要方面的8項具體測試，“是非常全面的一次安全性測評。”

   記者在報告中看到，這16款最新版本的銀行手機客戶(hù)端僅個(gè)別APP在登錄、鍵盤(pán)輸入環(huán)節安全性較高，但在后面幾項關(guān)鍵性測評中所有APP都拿了零分。“為避免具體測試方法和銀行客戶(hù)端漏洞被人惡意利用，我們暫時(shí)不會(huì )公開(kāi)每個(gè)銀行客戶(hù)端的具體測評結果及敏感測試細節。”360有關(guān)負責人官方表示，目前秘密報告已經(jīng)提交給了各家銀行，也會(huì )做后續跟進(jìn)。

   有專(zhuān)家表示，手機銀行客戶(hù)端作為網(wǎng)上支付的重要工具， 其自身的安全性是網(wǎng)民賬戶(hù)、資金安全的基礎。“目前手機銀行客戶(hù)端軟件采用的多是‘賬號密碼+短信驗證碼’的認證體系，在面對具有短信劫持功能的手機木馬攻擊時(shí)，都顯得非常脆弱。”這位安全專(zhuān)家直言，雖然已經(jīng)有部分銀行開(kāi)始推廣音頻盾、藍牙盾等雙因素認證系統，但這些系統的使用不是強制性的，絕大多數用戶(hù)仍在使用“賬號密碼+短信驗證碼”的認證方式。“一旦被可短信劫持的木馬感染，這種雙重保險依舊存在安全隱患。”“更可怕的是，一款?lèi)阂獬绦蛏踔量梢酝瑫r(shí)監測、仿冒和劫持多個(gè)銀行客戶(hù)端的登錄界面。”該專(zhuān)家表示，根據報告測評結果顯示，在16款手機銀行客戶(hù)端軟件中，沒(méi)有任何一款客戶(hù)端能單獨解決這類(lèi)問(wèn)題。

   此外，360互聯(lián)網(wǎng)安全中心數據統計顯示，本次測評的16款手機客戶(hù)端軟件中，除了1家銀行之外，其他銀行的手機網(wǎng)銀客戶(hù)端軟件均存在盜版現象。

移動(dòng)支付注意加強防范

   目前各大銀行的官方網(wǎng)站上都會(huì )有手機APP的下載入口，同時(shí)用戶(hù)還應及時(shí)為手機系統打上安全補丁以阻止木馬入侵，或安裝安全軟件。

   據報告顯示，正版下載量越高的網(wǎng)銀App，盜版版本數也相對較多，個(gè)別客戶(hù)端甚至有20個(gè)以上的盜版版本。“用戶(hù)最好從正確的渠道下載支付軟件。”某銀行電子銀行部門(mén)工作人員表示，目前各大銀行的官方網(wǎng)站上都會(huì )有手機APP的下載入口，一些銀行還有相應的業(yè)務(wù)指南、開(kāi)通流程和演示頁(yè)面，用戶(hù)可通過(guò)銀行的官方渠道下載手機APP，避免盜版版本的侵害。“同時(shí)，用戶(hù)還應及時(shí)為手機系統打上安全補丁以阻止木馬入侵，或安裝安全軟件，在木馬裝進(jìn)手機之前將其查殺。如發(fā)現問(wèn)題后，第一時(shí)間致電銀行客服熱線(xiàn)進(jìn)行封鎖賬戶(hù)或掛失等相關(guān)補救措施。” 某銀行電子銀行部門(mén)工作人員稱(chēng)。

   除從下載軟件渠道防范手機支付風(fēng)險外，用戶(hù)日常的使用習慣還需多加注意，一些良好的習慣同樣能減少你手機支付的安全隱患。“日常要養成良好的手機使用習慣。”有銀行人士表示，目前國內的移動(dòng)支付仍處在發(fā)展起步階段，只要安全性能得到保障，移動(dòng)支付的便捷性一定會(huì )讓移動(dòng)支付有更大的應用空間。就現在發(fā)現的一些隱患問(wèn)題主要還是市民安全意識不強，所以，用戶(hù)安全地使用手機支付從良好習慣出發(fā)。“不要輕信陌生人發(fā)來(lái)的二維碼信息，同時(shí)最好保持設置手機開(kāi)機密碼的習慣，并使用數字證書(shū)、寶令、支付盾、手機動(dòng)態(tài)口令等安全必備產(chǎn)品。”該人士強調，目前很多騙子通過(guò)偽基站技術(shù)可以將所發(fā)信號碼偽裝成銀行官方客服號碼。因此，即使是銀行官方客服號碼發(fā)來(lái)的類(lèi)似短信，也不要輕信。“如果收到此類(lèi)短信后自己有擔憂(yōu)，也一定不要直接撥打短信中留下的聯(lián)系電話(huà)，而是要通過(guò)銀行官方客服進(jìn)行咨詢(xún)。”

   專(zhuān)家還建議，用戶(hù)不要在手機上安裝來(lái)歷不明、可能有危險的程序，同時(shí)還應設置敏感應用的訪(fǎng)問(wèn)密碼；如遇手機遺失，立馬遠程銷(xiāo)毀手機數據。此外，用戶(hù)也應盡量減少個(gè)人信息泄露，尤其是手機號、身份證號、電子郵箱等敏感信息，避免不必要的泄露。