按照傳統(tǒng)的消費(fèi)支付方支付，出門不帶錢包是萬萬不行的，而歲移動(dòng)支付不斷的普及，卻改變了消費(fèi)者支付習(xí)慣，漸漸的很多人也就養(yǎng)成了不帶錢包的習(xí)慣。無現(xiàn)金時(shí)代已經(jīng)悄然來臨，若告訴你出門只帶一個(gè)東西，我敢肯定你一定選擇的就是手機(jī)，隨著移動(dòng)支付的興起，一部手機(jī)走天下正在改變著我們的消費(fèi)方式。目前中國的移動(dòng)支付是消費(fèi)者通過掃描商家的收款二維碼進(jìn)行支付，就目前來講掃描二維碼仍然存在著很多的隱患，很可能二維碼被偷換，或者不法分子在二維碼中植入病毒，造成消費(fèi)者資金損失，對于年輕人來講，他(她)們的防范意識是比較強(qiáng)的，但對于60歲以上的老年人，他(她)們的防范意識是比較低的，造成資金損失的同時(shí)年輕的人要比年齡大的人發(fā)現(xiàn)的早，而且要比年齡大的人要回的幾率要大，所以移動(dòng)支付還會(huì)有很多的方面需要完善。
 

     1月9日，騰訊玄武實(shí)驗(yàn)室的一場“低調(diào)”發(fā)布會(huì)成為了近期業(yè)界乃至社會(huì)大眾討論的熱點(diǎn)。發(fā)布會(huì)通過安卓手機(jī)與APP應(yīng)用間多個(gè)已知漏洞，無需植入任何木馬或惡意代碼，“隨機(jī)”組合多個(gè)安卓系統(tǒng)漏洞便完美呈現(xiàn)了一場針對支付寶支付的遠(yuǎn)程攻擊，一時(shí)間業(yè)界輿論一片嘩然。筆者針對這一巨頭間司空見慣的攻訐并無意做過多評價(jià)，況且相信以二者的技術(shù)實(shí)力，這樣“禿子頭頂上的虱子”般的漏洞們早就在發(fā)布前便完成了修復(fù)，不然也不會(huì)在舊版應(yīng)用上演示完成。然而，就技術(shù)實(shí)現(xiàn)而言，DPLS Lab作為信息安全獨(dú)立第三方實(shí)驗(yàn)室中的一員，針對目前所有在媒體和官方渠道上所公開的漏洞信息和技術(shù)細(xì)節(jié)，筆者結(jié)合自身多年從事支付安全研究的淺薄見解，還是做了一番深入思考，就此形成的所謂的可能結(jié)論，還是產(chǎn)生了些許不安：這一由于系統(tǒng)漏洞通過短信傳播方式實(shí)現(xiàn)的針對二維碼支付的遠(yuǎn)程攻擊方式，還會(huì)影響多少無硬件保護(hù)的軟件APP移動(dòng)支付方式？

第一、短信傳播，點(diǎn)擊中招。回述發(fā)布會(huì)中的攻擊過程，我們看到這一攻擊過程的起點(diǎn)源自于被攻擊者（用戶）點(diǎn)擊了收到短信中的搶紅包引誘鏈接，雖然其最終呈現(xiàn)在手機(jī)上的是看似“正常”的搶紅包界面，但殊不知其所使用的被攻擊目標(biāo)APP已經(jīng)通過惡意代碼并結(jié)合安卓系統(tǒng)漏洞將用戶合法登錄憑證等敏感信息連同配置文件等等一并傳回了攻擊者的手機(jī)上，借助這些文件和信息攻擊者無需二次登錄和校驗(yàn)，便可以方便的使用目標(biāo)APP進(jìn)行任意消費(fèi)和交易，整個(gè)過程一氣呵成毫無違和感。然而攻擊者究竟使用了什么方法，使得原本無懈可擊的支付應(yīng)用被輕松攻破？

一番探究后，筆者發(fā)現(xiàn)其針對目標(biāo)APP成功實(shí)施攻擊兩個(gè)最重要前提是：

其一、為了更好的用戶體驗(yàn)感，包括安卓操作系統(tǒng)在內(nèi)的智能手機(jī)廠商和系統(tǒng)開發(fā)方為便于用戶新舊手機(jī)切換時(shí)原有數(shù)據(jù)、文件、APP和配置信息等等用戶個(gè)人化數(shù)據(jù)的迅速遷移，紛紛在其操作系統(tǒng)中預(yù)留了此類用戶個(gè)人化數(shù)據(jù)自動(dòng)遷移的類“應(yīng)用克隆”接口（現(xiàn)在看來已成為系統(tǒng)漏洞）。

其二、就是所謂的Android WebView存在的跨域訪問漏洞，且由于APP開發(fā)過程中所存在的一些“不明智”舉措，促使該漏洞成為可被進(jìn)行“應(yīng)用克隆”攻擊的最大幫兇。該漏洞的原本設(shè)計(jì)用意僅旨在通過網(wǎng)頁URL訪問喚醒第三方APP應(yīng)用，這一設(shè)計(jì)方式亦被廣泛的應(yīng)用場景所使用，從而成為啟動(dòng)各類APP的重要入口方式之一，如點(diǎn)擊鏈接啟動(dòng)視頻播放APP播放一段視頻就是一個(gè)司空見慣的應(yīng)用場景。

有了以上兩個(gè)前提，黑客們結(jié)合自己對于惡意鏈接傳播的嫻熟技巧與用戶們或是好奇或是占便宜的心態(tài)相結(jié)合，一次完美的攻擊便可以一蹴而成。而本次攻擊的實(shí)施過程中的技術(shù)細(xì)節(jié)可籠統(tǒng)的理解為：此類攻擊的目標(biāo)多為通過登錄賬戶進(jìn)行保護(hù)的APP，當(dāng)用戶收到惡意短信后，點(diǎn)擊非法鏈接（URL）喚醒支付應(yīng)用APP，存在上述WebView漏洞的APP運(yùn)行過程中所產(chǎn)生的的敏感數(shù)據(jù)和隱私文件（包括用戶賬戶登錄憑證等）被通過鏈接加載的外部可控HTML文件非法跨域file訪問，并被傳輸?shù)街付ㄟh(yuǎn)端服務(wù)器，從而實(shí)現(xiàn)“應(yīng)用克隆”攻擊。

第二、二維碼掃碼直接中招。值得注意的是，如果希望上述攻擊過程如數(shù)實(shí)現(xiàn)，除了技術(shù)化的漏洞切實(shí)存在于設(shè)計(jì)“不明智”的APP以外，無風(fēng)險(xiǎn)防范意識的用戶操作也是其必要條件之一。但是，中國的廣大用戶接觸互聯(lián)網(wǎng)及其周邊產(chǎn)品已經(jīng)超過30年，移動(dòng)互聯(lián)網(wǎng)趨勢下國內(nèi)日益增多的電信詐騙手段和屢見不鮮的案例通過媒體的不斷曝光早已司空見慣，相信如果不是設(shè)計(jì)精妙，一個(gè)普通用戶在對莫名短信產(chǎn)生信任感之前，冒然的對短信中的未知鏈接進(jìn)行點(diǎn)擊，恐怕這樣的行為在當(dāng)下應(yīng)該不會(huì)成為大概率事件。

然而筆者仔細(xì)回想了攻擊過程中的每一個(gè)細(xì)節(jié)，區(qū)別于以往電信詐騙、釣魚網(wǎng)站、“李鬼”應(yīng)用攻擊手段的不同，此次黑客并未使用任何傳統(tǒng)的木馬病毒，攻擊僅僅是通過針對存在于安卓操作系統(tǒng)和APP中的各個(gè)漏洞進(jìn)行有機(jī)組合后，簡單利用客戶好奇心態(tài)神不知鬼不覺的完成了應(yīng)用克隆攻擊，而全部的交互過程僅僅停留在用戶需要“配合”點(diǎn)擊短信中的鏈接這一小概率操作即可。反復(fù)思考后筆者不禁發(fā)現(xiàn)，還有一個(gè)被遺漏的重點(diǎn)：針對存在漏洞APP的攻擊是源自于用戶冒然點(diǎn)擊短信中的非法鏈接，從而促使安卓操作系統(tǒng)通過URL激活被攻擊目標(biāo)APP后完成的。然而URL的傳輸除了通過短信直接發(fā)送以外，還有一個(gè)更為直接且應(yīng)用廣泛的方式，那就是掃描二維碼。無論是下載APP、電子支付、各類門票應(yīng)用、商品溯源、點(diǎn)餐下單、公交購票、二維碼導(dǎo)游等等，移動(dòng)互聯(lián)網(wǎng)浪潮下，二維碼已然成為線下到線上的入口，每天我們身邊圍繞著各種各樣的二維碼應(yīng)用，而這些二維碼所傳輸?shù)拇蠖喽际荱RL鏈接，而用戶通過各種掃描APP軟件通過這些入口激活更多的APP從而接入各種服務(wù)。

如此看來事情似乎要比之前分析的嚴(yán)重一些了，筆者作為一個(gè)有較強(qiáng)信息安全風(fēng)險(xiǎn)意識的普通消費(fèi)者，也許可以對于各種短信、微信、郵件、網(wǎng)頁中傳遞而來的未知鏈接心存芥蒂，可現(xiàn)如今的移動(dòng)互聯(lián)網(wǎng)世界中要筆者在日常生活中拒接掃描二維碼，亦或是面對看起來“長得都很像”二維碼URL掃描前加以甄別，這恐怕絕非易事。難不成掃碼前先要啟動(dòng)某個(gè)手機(jī)殺毒軟件先行驗(yàn)看一番嗎？雖然面對兩大互聯(lián)網(wǎng)巨頭企業(yè)的應(yīng)用此類漏洞早已封堵，可畢竟擁有掃描功能的APP可絕非僅此二者而已，反觀網(wǎng)上各類分析文章與公關(guān)稿件中，似乎也有不少作者意識到了此類衍生風(fēng)險(xiǎn)，然而應(yīng)對之法除了教育用戶及時(shí)更新APP以外，就只是草草丟下一句“切勿隨意掃描不太確定的二維碼”，可這“不太確定”又該讓普通用戶如何界定呢?畢竟生活中許多場景下掃描二維碼已然成為一種默認(rèn)的習(xí)慣，用戶具有天然的習(xí)慣養(yǎng)成感和信任感，尤其當(dāng)它與支付方式相連接后。

第三、實(shí)現(xiàn)移動(dòng)支付遠(yuǎn)程攻擊，無需root或竊取手持終端。基于手機(jī)所興起的移動(dòng)支付，在經(jīng)歷了幾年的飛速發(fā)展之后，已然成為勢不可擋的大勢，從二維碼到云閃付，從HCE到NFC，幾年時(shí)間一個(gè)個(gè)原本生僻的技術(shù)專業(yè)詞匯，已經(jīng)成為家喻戶曉、老少皆知的支付新方式。也正因?yàn)榇耍藗兊纳钸B同支付方式發(fā)生了很多翻天覆地的變化。從貨幣交易到基于銀行卡交易，中國老百姓的消費(fèi)習(xí)慣用了十幾年才完成支付電子化的改造，然而從卡片支付到無卡支付，再到移動(dòng)支付，這一切的變化卻發(fā)生在這短短幾年之間。

回顧這幾年間電子支付手段的變遷，筆者作為親歷者，可謂感觸良多。簡單回顧這一里程，筆者卓見可大體分為以下五個(gè)階段：

【第一階段】磁條卡興起，電子化支付替代紙幣交易。這一進(jìn)程大多開始于改革開放后，隨著存折的逐漸消失，磁條卡成為銀行主要發(fā)行的賬戶載體和電子支付的主要手段。然而磁條卡缺少加密機(jī)制使其在交易中極易被偽造。

【第二階段】IC卡遷移，銀聯(lián)搭建電子支付基礎(chǔ)設(shè)施。2002年，隨著我國自有支付卡組織銀聯(lián)的成立，電子支付受理環(huán)境得到了顯著的改善，隨之而來的銀行卡IC化遷移，更是極大的改善了用戶在日常電子支付中安全性與便利性。

【第三階段】智能手機(jī)興起，移動(dòng)支付技術(shù)群雄逐鹿。2011年，隨著當(dāng)時(shí)的智能手機(jī)巨頭與銀聯(lián)合作的首款基于SD卡的NFC移動(dòng)支付手機(jī)的發(fā)布，借助IC卡與智能手機(jī)融合的移動(dòng)支付風(fēng)潮正式到來，一時(shí)間SIM卡、SD卡、手機(jī)殼、貼片卡、嵌入式SE、HCE等各項(xiàng)面向智能手機(jī)的移動(dòng)支付改良方案紛紛在市場中出現(xiàn)，百花齊放。

【第四階段】二維碼支付出現(xiàn)，互聯(lián)網(wǎng)巨頭追捧。同樣是在2011年，由互聯(lián)網(wǎng)巨頭企業(yè)支付寶推出的二維碼支付技術(shù)，也加入到了移動(dòng)支付的技術(shù)浪潮中，依托于便捷操作和純軟件輕量化部署等先天優(yōu)勢，最終在經(jīng)歷種種爭議后逐漸被包括微信在內(nèi)的眾多互聯(lián)網(wǎng)企業(yè)所推崇，并最終獲得監(jiān)管層認(rèn)可，成為線下支付的重要補(bǔ)充部分。

【第五階段】ApplePay入華，NFC三分天下。2016年，智能手機(jī)巨頭蘋果公司看準(zhǔn)中國市場良好的非接觸式IC卡受理環(huán)境，攜NFC支付技術(shù)進(jìn)入中國聯(lián)合銀聯(lián)共同推廣基于嵌入式SE芯片的所謂安全移動(dòng)支付技術(shù)，并很快獲得所有手機(jī)廠商的跟進(jìn)，至此銀行卡、二維碼、NFC三大技術(shù)在中國電子支付市場三分天下。

然而，一直以來，電子支付尤其是移動(dòng)支付技術(shù)，在給用戶帶來前所未有的便利體驗(yàn)同時(shí)，其支付安全性一直是一個(gè)備受矚目的話題。首先有來自監(jiān)管層的壓力，畢竟金融安全關(guān)系國計(jì)民生；而作為技術(shù)踐行者的金融機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)和設(shè)備廠商更是首當(dāng)其沖責(zé)無旁貸，無不使勁渾身解數(shù)讓其支付技術(shù)越來越復(fù)雜，越來越安全，上述五個(gè)技術(shù)發(fā)展階段變可見一斑；更重要的是來自廣大用戶的關(guān)注，畢竟誰丟了錢都不會(huì)善罷甘休。筆者還記著早年間與一位著名手機(jī)品牌的支付項(xiàng)目經(jīng)理對話時(shí)，曾不厭其煩的闡述支付安全重要性的上述觀點(diǎn)，無奈卻被反諷道：用戶的錢，放在錢包里尚可丟的，怎么放在我手機(jī)電子錢包內(nèi)卻丟不得了？可嘆這浮躁社會(huì)下逐利者的無知與無畏，一招失算讓這家企業(yè)在移動(dòng)支付上起個(gè)大早卻趕了晚集，至今表現(xiàn)低迷。

     隨著技術(shù)的日新月異，針對各類移動(dòng)支付方式的惡意攻擊手段也層出不窮，或爭名或逐利其后每年的黑客大會(huì)和媒體報(bào)道中，都會(huì)見到有移動(dòng)支付技術(shù)中招的新聞。為了更好的完善移動(dòng)支付技術(shù)的安全性，增加攻擊者的難度，智能手機(jī)廠商、互聯(lián)網(wǎng)企業(yè)以及金融機(jī)構(gòu)紛紛對原本依賴在用戶名和密碼保護(hù)的賬戶支付體系中，不斷融入新的技術(shù)手段，以提高支付安全性門檻。總結(jié)來看無外乎云端不斷完善的風(fēng)控機(jī)制和隨時(shí)更新的漏洞庫，管道端日益增強(qiáng)的端到端加密體系的運(yùn)用和結(jié)合令牌Token技術(shù)等的創(chuàng)新應(yīng)用，終端啟用生物識別技術(shù)喚醒和增加硬件可信根等。其后黑客們發(fā)現(xiàn)在重重保護(hù)下移動(dòng)支付似乎并非那么輕易可被破解，即便最新暴露的針對指紋支付和智能POS機(jī)的攻擊案例，黑客最大的難點(diǎn)來自于需要首先可以接觸到用戶的手機(jī)或POS機(jī)，從而才能達(dá)成指紋破解或取得root權(quán)限，而其后的攻擊實(shí)施更多只是炫技，并無太多實(shí)操。更多技術(shù)細(xì)節(jié)可訪問：