按照支付宝的流程设计，单笔付款金额达到200元，必须经过短信验证码确认后，才能完成支付操作。然而，专家分析发现，攻击者获得手机完全控制权后，短信验证码的安全防范作用也就相当于形同虚设。

【同期】手机安全专家诸葛建伟

同时他还可以利用手机上的木马程序，对支付宝发给用户手机的一个验证码来进行拦截。

【正文】

记者看到，当技术人员使用刚刚获得的支付宝账号和密码发起了转账555元的操作后，支付宝平台原本下发给用户手机的短信验证码，在用户手机屏幕上并没有出现，反而出现在了攻击者的电脑屏幕上。技术人员输入这个验证码之后，用户支付宝账号中的余额555元钱立即被转走了，此外，账户变动的短信提示也被屏蔽，用户手机屏幕上没有出现任何提示信息。

【同期】手机安全专家诸葛建伟

这种新的攻击方式是可以让攻击者非常从容在用户完全没有察觉的这种情况下，偷偷地把你的钱转走。

【正文】

专家警示，这种利用手机操作系统安全漏洞，来攻击用户手机、通过支付宝等第三方支付平台盗刷银行卡的技术并不高深，一般的网络攻击者，只要跟踪到一些已公开的安全漏洞，或者通过地下产业链购买到相关的攻击程序和木马程序，便可以完成对支付宝账号的攻击，盗走用户银行卡资金。

研究人员接下来还扩大了研究范围，结果发现市场上的几款手机都存在同类安全漏洞。

【同期】手机安全专家诸葛建伟

除小米2机型外，像三星的Galaxy S4、谷歌的Nexus4以及华为、联想的(品牌的)一些机型，也都同样存在着这样的ROOT提权安全漏洞，也就是能够让攻击者获取手机最高权限的一个漏洞。

【正文】

记者注意到，专家分析测试存在系统安全漏洞的这些手机，分别安装了市场主流的几款手机安全软件，然而，当专业技术人员利用这种系统安全漏洞进行支付宝转账攻击测试时，这些安全软件似乎并没有表现出安全防护作用。

【同期】手机安全专家诸葛建伟

这种攻击模式是组合使用浏览器的漏洞和本地root提权漏洞，进行进一步的攻击，完全屏蔽掉360手机卫士的运行，从而让它失效，我们还进一步分析发现，这种攻击模式，对像腾讯手机管家这样的一些市场上主流的手机安全软件同样有效，同样可以让它们失去保护手机的效果。

【正文】

专家进一步分析测试后还发现，这种安卓系统安全漏洞，使攻击者不但可以隐蔽地从网上通过支付宝等第三方支付平台，盗刷银行卡，而且还可以在达成攻击目的后，完全擦除攻击痕迹，相当于可以来无影、去无踪地盗刷用户银行卡。

【同期】手机安全专家诸葛建伟

他在进行一个恶意转账之后，他可以彻底地把木马程序和所有的一些日志都进行一个擦除。这样的话，即使你进行了一个报案，你把这个手机交给了警方，DHL，警方(目前)也没有任何的办法通过举证分析去找到攻击者的一个线索。

【主持人】

【正文】

手机操作系统是手机所有应用程序运行的基础，相当于手机的大脑。网络安全国家权威研究机构的专家向记者透露，安卓操作系统安全漏洞的客观存在，给攻击手机打开了方便之门，使支付宝等移动支付应用面临严重的安全威胁。

分享