2015.04.28 10:59:57 来源: 华商网 作者:华商网 

用自己的手机登录支付宝就安全？实验：验证短信会被拦截

华商报4月23日见报的《买上万手机号 改支付宝密码 盗23.8万元》，引起大家对第三方网络支付平台安全性的关注。不法分子之所以能通过网络进行盗窃，除了购买了大量手机用户号码和电信网上服务平台登录密码，关键是采用了拦截支付宝短信验证码的方法。

所有第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，甚至可以立即重置重要的登录或支付密码。那么，短信验证码究竟能否当此大任？23日，西安电子科技大学的三位硕士研究生和华商报记者一起做了一个实验。

>>实验验证

恶意程序盗取短信验证码，难吗？

实验时间：2015年4月23日16：00~17：00

实验地点：华商报社二楼

实验人员：西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏，华商报记者

实验顾问：西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华

为了做这次实验，三位硕士研究生使用了一个特殊的安卓手机软件，这是一个恶意程序，起名“钓鱼攻击”。

实验模拟的情境是，李鑫使用的一部安卓手机已中招，恶意程序一直在后台运行。该软件预先设置的黑客手机号码，是一起做实验的华商报记者的一部手机。

实验开始，李鑫打开手机“支付宝”进行登录。而实际上，他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到，所以输入的账号、登录密码都是真的。

就在李鑫登录“支付宝”的瞬间，华商报记者的手机收到了一条短信，内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的华商报记者，此时立即打开自己手机上真正的支付宝应用，输入短信中的用户名和密码，完全可以登录并使用李鑫的支付宝账户。

如果黑客使用支付宝过程中，需要短信验证码怎么办？这个验证码，支付宝可不会直接发给黑客。

别急，按照程序设计，中毒手机在使用支付宝的过程中，只要收到含有“支付宝”三个字的短信，就会自动把短信内容转发给黑客手机。

为验证这一点，王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时，华商报记者的手机就收到了同一条短信。如果这就是黑客需要的验证码，后果可想而知。重置密码、改绑手机，凡是黑客在操作中需要填短信验证码的环节，中毒手机都会自动在需要的时候通过短信转发过来。所以，几分钟甚至几十秒这样的时间限制，并不是问题。

就这么一个小小的程序，不但破解了支付宝账户名和登录密码，而且在操作中凡是需要短信验证码的时候，都会自动发给黑客。让华商报记者看得目瞪口呆。

李鑫说，为研究如何加强安卓系统防木马和钓鱼软件的功能，他们设计了一个新的安卓操作系统。为验证该系统防护性能，才专门制作了这样的“钓鱼攻击”软件。其实这样的钓鱼软件并不罕见，甚至在淘宝上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑，或者伪装成游戏挂件等，用户很难辨别真假。一旦安装并运行了这样的软件，不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客，有些软件还会让用户无法收到支付宝发来的短信。

>>实验总结

仅靠短信验证 无法确保支付安全

西安电子科技大学计算机学院博士、副教授杨超介绍，传统的银行账户实行实名强验证，也就是本人拿着身份证去当面验证，必要时输入验证密码。网络支付方式为突出便利性，降低了验证门槛，一般采取密码验证和短信验证相结合的方式，被称为“双因子验证”。但现在出现了两个问题：一是手机短信验证用过头了，被当做主要验证方式，用它可以去重置登录密码或支付密码，也就是说用短信验证去否决密码验证，这样的设计是不合适的。二是手机短信验证有天然缺陷，在传播过程中可以被截获，实验也说明了这样的问题。所以，短信验证码是不能单独担当主要验证权限大任的。