360发布中国移动付安全报告 2014成移动支付元年.docVIP

360发布中国移动支付安全报告 2014成移动支付元年 科学中国-中国网 3月11日消息，360互联网安全中心发布国内首个移动支付安全报告《中国移动支付安全报告》。报告显示，2013年，中国手机支付用户规模达到1.25亿，同比增长了126.0%。 相比于各大银行，支付宝在移动支付领域占有绝对优势地位。令人担忧的是，移动支付却面临着巨大的安全隐患。购物及支付类木马往往会使用一些最新的攻击技术和攻击方法，防范难度较大。这些木马还会伪装成各种不同的应用，诱骗用户下载安装。与此同时，诈骗短信、手机丢失成为移动支付安全的严重威胁之一，二维码木马钓鱼诈骗和电子密码器升级诈骗等则是目前针对移动支付流行的典型网络骗术。2014年成中国移动支付元年。 ? 支付宝占移动支付绝对优势?建行手机银行下载最多 报告显示，在国内，与支付、网银、金融证券相关的各类移动应用的累计下载量已经超过4亿次。其中，支付宝钱包占比高达58%，是所有手机网银客户端软件下载总量（占比27%）的两倍多。此外，与支付宝相关的其他各种应用的下载量也占比8%。支付宝在移动支付领域占有绝对优势的地位。在校园、企业和公交系统中广泛使用的中国电信翼支付的下载量占比为3%，各种金融证券类应用的下载量占2%，安全支付控件的下载量占比1%。（以上数据根据360手机助手的下载量统计及相关第三方数据换算） ? ? 图一：支付及金融类手机应用下载量的详细比例分布 目前，国内外各大银行推出的网银手机客户端应用产品多达170余款。在网银手机客户端的累计下载量统计中，建行手机银行（23%）、工行手机银行（19%）、交通银行（9%）、招行银行（8%）和农行掌上银行（8%）的下载量位居前五名。 ? ? 图二：手机银行下载情况分析 ? 手机安全漏洞普遍存在?购物及支付类木马难防范 报告数据显示，使用Google原生安卓系统Nexus系列的手机漏洞是最少的。国产手机漏洞数量通常介于10到20个之间，少数国际知名品牌的某些手机型号中，检测出存在30-40个安全漏洞。根据360互联网安全中心对上述预置应用的调查结果来看，因厂商定制产生的手机安全漏洞，约占被测试手机已知漏洞总数的70%。 而在360《中国移动支付安全报告》列举的后台消息、签名漏洞、短信欺诈、后台电话、清除数据、静默安装等六类漏洞中，签名漏洞对移动支付安全性的威胁最为严重。因为黑客可以利用这个漏洞，对正常的支付工具或网银客户端进行篡改，而篡改之后，程序的数字签名不会发生改变，因此也很难被发现。 在购物及支付类木马方面，从绝对数量上看，专门针对手机网银、支付工具和网上购物设计的木马程序并不是很多。但此类木马往往会使用最新的攻击技术和方法，使得此类木马的发现和查杀难度大大增加。 数据显示，2013年360互联网安全中心共截获支付及购物类恶意程序2962个。这些恶意程序可以盗取支付帐号和密码，拦截并转发银行发来的短信，或者是直接洗劫支付账户中的资金余额。 这些恶意程序通常会以两种形式出现：一种是篡改特定官方客户端程序并植入恶意插件的篡改类木马；一种是纯粹假冒其他应用程序的假冒类木马。统计显示，在所有的支付及网购木马中，?篡改类木马占比约为26%，假冒类木马占比约为74%。 ? ? 图三：手机购物及支付类恶意程序篡改或假冒对象 ? 从恶意程序篡改或假冒的对象来看：淘宝及相关应用最多，占比约为25%；其次是安卓系统或安卓系统组件，占比约为14%；接下来是微信相关应用和网银客户端，占比分别为12%和9%。还有假冒图片和相册，假冒支付宝及相关应用，假冒金融证券软件，安全组件和京东等各种应用的木马程序也不在少数。 ? 短信诈骗、手机丢失成移动支付安全严重威胁之一 垃圾短信中重要的一类就是诈骗短信，某些诈骗短信会诱骗用户登录钓鱼网站或下载木马程序，从而对网上购物和网上支付构成威胁。特别是2013年下半年开始流行至今的伪基站技术，使诈骗短信的危害成倍增加。 由于伪基站使用的发信号码多为银行或电信运营商的官方号码，这些号码不仅对于用户来说很具有迷惑性，而且这些号码通常也会被手机安全软件列入白名单，因此，目前市面上的绝大多数手机安全软件和号码管理软件也不能识别和拦截伪基站短信。目前，针对日益泛滥的伪基站攻击，360手机卫士已率先推出拦截功能，并可标记这些短信为“伪基站推送短信”。 据360互联网安全中心统计，2013年全年共收到用户举报垃圾短信总量约为4.46亿条，360手机卫士全年共为用户拦截各类手机垃圾短信971亿条，其中诈骗短信占据垃圾短信总量的5%，约为49亿条。 ? ? ? 图四：用户举报垃圾短信类型分布 ? 传统银行柜台办理业务时，需要“人证合一”双重查验，而手机支付仅通过姓名、卡号、身份证、手机号就可以完成。一旦手机与钱包、身份证等资料一起丢失，