央视《每周质量报告》日前对手机支付的安全性进行了关注,调查发现,在复杂多变的网络环境下,支付宝等第三方支付平台安全事件发生概率并不低。用户银行卡被通过支付宝等第三方支付平台盗刷后,索赔很难,并非个个都能如愿,只有等到警方破案后追索赃款来挽回损失。
专家研究分析和测试后发现,攻击者之所以能获取手机用户的支付宝账号和密码等重要的认证信息,恰恰就是因为他能够对支付宝应用程序进行插桩,植入恶意程序片段,对用户输入进行监控。支付宝应用由于缺乏一些对抗逆向分析的机制,并且不会对修改后的支付宝应用进行验证,就使得被修改后的支付宝应用还可以像原来一样去连接服务器,来完成登录和转账的操作。
央视记者随后就支付宝应用程序被插桩恶意程序片段的安全防范问题,对支付宝方面进行了电话采访,却没想遭遇了客服的神回复。
支付宝 018号客服 记者:你们能不能发现用户手机里的支付宝软件被人做了手脚? 客服:可以的。你刚刚不是把账号告诉我,我在这边查询到了的嘛。 记者:那就只有用户告诉你了,才能发现,是吗? 客服:对啊。 记者:那你们为什么不能主动去提示用户呢? 客服:我们是神仙啊!