腾讯百度“对对碰”

　　日前，互联好别21秒一词，佬装因一名疑似女明星的最证不雅视频成为网络热搜词。木马病毒也伴随着“31分钟”、绑信“完整版”在不到24小时，身份入侵普通人的互联好别电子产品，盗取金融账号。佬装刚刚在北京落幕的最证2014年全球移动互联网大会上，中国互联网协会秘书长卢卫表示，绑信仅今年2月中国就有超过130万台主机IP受到木马攻击。身份

　　对于引发全民关注的互联好别手机支付、微信红包、佬装支付宝理财等互联网金融，最证支付与隐私如何确保安全也成为大会焦点。绑信来自腾讯、身份百度的两名专门负责移动安全支付的副总裁展开了观点对碰，让普通人得以一窥移动安全的脆弱江湖。

　　黑客黑金产业链谁火就会盯上谁

　　2014全球移动互联网大会原本设计的BAT(百度、阿里、腾讯)对互联网金融安全问题“三国互掐”，因阿里集团副总裁、阿里小微国内事业部总裁樊治铭的缺席变成了腾讯与百度的观点对对碰。

　　在百度副总裁张磊看来，新兴的“互联网金融”被传统黑客主导的黑金产业链条盯上才是真正问题。真正的手机防护互联网高手黑客分成两派，一派加入了BAT等各大团队，一部分则隐姓埋名，成为黑色吸金产业链的雇佣兵。

　　张磊介绍，2013年前，人们被手机困扰顶多是垃圾短信和诈骗短信，但2013年下半年开始，一系列手机安全事件集中爆发，包括当年最著名的移动金融偷盗资金问题产生。原因是大量资本涌进手机。手机不再是通讯和信息载体，而是变成支付凭据。

　　“黑色产业链盯什么？就盯这些钱，盯银行、支付宝和其他创新产品。”张磊认为，同Windows当年被蠕虫病毒感染一样，今天的微博、微信、手机在贼眼里就是一个个漏洞和一座座可以挖的金矿。

　　例如，百度安全团队目前截获的跟移动安全相关的有效病毒数量已经超过了50万~60万量级。上个季度百度发现最有危害性的手机银行病毒叫“银行悍匪”，这个病毒模拟了23~25家银行的钓鱼界面，包括支付宝的钓鱼界面。

　　张磊介绍，“银行悍匪”的技术原理其实很简单但很有效，就是先下了一个母包，分析一下你手机上装有什么支付软件，假设你有银行界面软件，它就把自己的银行的模拟器再下到你手机上。但是当你点一下真的银行APP软件启动时，“银行悍匪”会在你手机上第一时间把真正的银行APP关掉，界面只会闪一下，然后把它自己界面上模拟的跟银行一样的连像素都不差一个的假银行账户运行。一旦你在自己手机上点开山寨银行APP，你的账号、密码就会被黑客拿到。随后，“银行悍匪”会自动再运行真的银行APP，界面再闪一次后，山寨的银行APP会被卸载，了无痕迹。

　　而且，对于普通用户，一旦下载针对安卓系统的“银行悍匪”，用户中招率为百分之百，完全没有识别能力。银行卡被盗有可能就是1分钟的事。

　　张磊说，据他了解，各大公司安全团队当中的确都有黑客高手被“招安”。在全国，这个级别的黑客应该不超过200个，但200个中已经进场研究移动安全的或者移动攻防的不超过30人。但30人中不少人已下落不明，联系不到，估计已经被黑金公司的人来收买。

　　支付宝安全漏洞10秒钟就被攻破

　　此前，阿里集团主管支付宝、余额宝的樊治铭就曾公开炮轰微信支付是弱爆了的产品，QQ和微信号多被盗说明其产品不安全。而在微信理财通设置几乎为零的门槛且利率一度偏高后，大量草根用户又将手上余钱从支付宝转入微信，造成了支付宝来自外部的巨大流动性金融安全压力，也增大了“支付宝”被盗的可能。

　　百度副总裁、百度移动安全总经理张磊表示，就在上星期，百度安全团队就曾发现支付宝自身有一个10秒钟就被攻破的安全漏洞。张磊说，现有的手机全技术已不是传统找病毒找攻防，有很多社会化的攻击手段和新的技术或漏洞。百度移动安全团队虽然入场晚，但利用百度在PC端积累的大数据能力，可以在云端建立一套动态识别预防系统，在黑客攻击安全前进行预防。

　　“2月份，我们跟腾讯又说了一下微信有漏洞，很容易就能把用户所有信息拿到。”张磊介绍，BAT的安全防护团队经常交流找漏洞，这些都是非常良性的合作状态。

　　对此，腾讯负责安全的副总裁丁珂说，此前提醒过支付宝团队有安全漏洞并被接纳。他认为，目前的移动金融安全，不是某一软件或某一操作系统不安全的问题，而是整个互联网金融链条上哪个短板是最易被攻破的问题。

　　“甚至这个短板可能是短信的验证码，都可能让整体金融，让我们快速提升的用户体验遭遇一个寒冷的冬天。”丁珂说，腾讯、百度、阿里三家的安全团队正在致力于一个共赢的联盟，相互协助。

　　装APP最好别绑信用卡身份证

　　10年前，丁珂加入腾讯，创造火爆一时的Q币。10年后，丁珂参加包括微信和财付通在内的每一个腾讯下属核心新产品上线的安全评测现场。对于公众关心的QQ经常被盗，腾讯的防火墙到底做什么？

　　丁珂回应，账号信息、QQ号、用户隐私等安全问题主要有两类原因：一类是企业自身能力不行、技术不完美。光2014年前4月，至少就有8起让他印象深刻的企业网站资料被黑客攻击，至少千万用户隐私泄露的案件，其中有腾讯自身软件把部分用户信息泄露的问题。

　　“我把服务放到公众的互联网上，但是我的网站有后门，即使我不相信自己有后门，但后台资料还是被人盗了。”丁珂说，当时是腾讯的一个软件不小心把一部分用户信息泄露出去。从有计算机以来，历史上也曾爆发过好几次有规模的安全漏洞。其中影响最大的一次是让微软都把研发结构调整的蠕虫病毒爆发。蠕虫病毒能够在4小时内把全世界的电脑感染，甚至当时有微软内部传言，比尔·盖茨把整个研发线停止研发产品两个月，全部按照新的安全理念去做。相比企业，丁珂认为更重要的问题还是用户安全意识差。

　　丁珂说，让用户有意识地培养顺畅使用业务的同时又保护隐私的能力是一个社会工程学，需要每个用户参与。例如在用户习惯上，很多人在用一些新软件时完全没有隐私意识，在手机软件选择上完全是为了使用，不自觉地泄露个人信息。

　　“PC端会强求你捆绑手机号和信用卡号。”丁珂说，在装APP的过程中，不少软件，包括一些知名的软件就会让用户捆绑身份证、信用卡、手机，很敏感的事情。“用户不可能在没有意识情况下就用上了。”

　　山寨APP软件存在极大安全风险

　　张磊说他的团队曾做过一个实验，将BAT公司的手机金融产品；百度钱包、支付宝和微信一一来监测。发现一旦从不安全的来源处下载一个山寨版，比如一个山寨的支付宝，一旦用户下载后，原有的BAT产品都不能幸免地被干掉，而且完全没有对用户的安全预警能力。其次，手机验证码被截获、伪造、受攻击，也是移动金融安全最大的问题。

　　移动金融的安全不仅需要BAT公司的努力，BAT即便在金融与支付类产品做得再好，也需要通讯产业和第三方安全监测机构的合作，才能从源头和手机运营环境上避免用户下载山寨“支付宝”。

　　张磊称，如果用户装了百度手机卫士，即使因为支付宝出问题导致钱被盗，在支付宝不赔偿的前提下，百度愿意赔偿每个资金被盗用户10万元，让用户感觉安心。