Xiaomiや他の携帯電話には、銀行のAlipayアカウントの盗難に簡単につながる脆弱性が存在していることがわかった。

Xiaomiや他の携帯電話には、銀行のAlipayアカウントの盗難に簡単につながる脆弱性が存在していることがわかった。

中国新聞社、6月16日(ITチャンネル張新南)最近、CCTVの「週刊品質報告」は、モバイル決済の多くのセキュリティリスクについて報道した。モバイルインターネットの発展とスマートフォンの普及により、第三者決済の規模は拡大しています。携帯電話システムには固有の脆弱性があるため、攻撃者は公衆無線LANを確立してトロイの木馬プログラムを埋め込むことで、ユーザーの携帯電話のプライバシーやアカウント情報にアクセスし、銀行カードやAlipayアカウントから現金を盗むことができます。 Xiaomi、Huawei、Googleなどの一部のモデルにはセキュリティ上の脆弱性があり、攻撃を受けると携帯電話のセキュリティソフトウェアが完全に無効になります。専門家は、銀行カードの盗難を防ぐために、パスワードなしで公衆 Wi-Fi に接続しないようにすることを推奨しています。

Xiaomi 2、Lenovoなどのモデルにセキュリティ上の脆弱性が発見された

Alipayと決済プラットフォームの既存の保護措置によると、ユーザーはアカウント番号、ログインパスワード、支払いパスワード、SMS認証コードの4つの防御ラインを備えた場合にのみ、サードパーティの決済プラットフォームを通じて消費振替を実現でき、各消費に対して銀行口座の変更がSMSで通知されます。では、犯罪者はこうした多重防御の下でどうやって銀行カードを盗むのでしょうか?

中国中央テレビの「週刊品質報告」によると、第三者決済を研究する北京の独立機関が、近年のアリペイを通じた銀行カード盗難事件を総括・分析し、個人情報を漏らした利用者の個人的な不注意が原因となった事件もあると指摘した。たとえば、誰かがあなたの身分証明書をコピーして携帯電話カードを申請すると、あなたの銀行カードが盗まれる可能性があります。安全でないネットワーク環境が原因で、ユーザーの銀行カード資金が受動的に盗まれたケースがかなりありました。ネットワークセキュリティ専門家のワン・タオ氏は、カフェなどの公共の場でWi-Fiに接続するといった受動的な状況が携帯電話の制御につながる可能性があると述べた。

清華大学の研究員で、国家の主要プロジェクト「Linux/Androidオペレーティングシステムのセキュリティ脆弱性検出」研究チームのリーダーであるZhuge Jianwei氏は、セキュリティ上の脆弱性のある携帯電話に対して、攻撃者は公衆フィッシングWi-Fiを設置し、無線ルーターを構成し、それをユーザーの携帯電話がインターネットにアクセスするための仲介ノードとして使用すると述べた。ユーザーの携帯電話がこのような公衆 Wi-Fi に接続されている場合、ユーザーのインターネット トラフィックは攻撃者が指定したラップトップまたは PC にハイジャックされます。モバイル インターネット ユーザーのデータ フローが攻撃者にハイジャックされると、ユーザーがクリックした Web ページに攻撃者によって悪意のある攻撃プログラムが挿入される可能性があります。また、携帯電話固有の脆弱性を悪用して新しいトロイの木馬プログラムが埋め込まれ、攻撃者が携帯電話を完全に制御できるようになるため、携帯電話に保存されているユーザー情報を読み取ったり、携帯電話にインストールされているアプリケーションを制御したりできます。さらに、制御を獲得した後は、検証 SMS を完全にブロックして Seventeen を無効にし、悪意のある転送を実行できるようになります。

調査の結果、研究者らは、Xiaomi 2、Samsung Galaxy S4、Google Nexus 4、およびHuaweiとLenovoの一部のモデルに、ROOT権限昇格のセキュリティ脆弱性があり、攻撃者が携帯電話の最高権限を取得できる可能性があることを発見した。

携帯電話システムの脆弱性により、安全な携帯電話ソフトウェアが無効になる

調査対象となった携帯電話にはすべて、国内で主流のモバイル セキュリティ ソフトウェアがインストールされていました。 CCTVの報道によると、専門技術者がシステムのセキュリティの抜け穴を利用してアリペイ攻撃送金テストを行った際、携帯電話にインストールされていたセキュリティソフトウェアはセキュリティ保護対策を一切講じていなかったという。

この点について、諸葛建偉氏は、この攻撃モードはブラウザの脆弱性とローカルルート権限昇格の脆弱性を組み合わせてさらなる攻撃を実行し、360 Mobile Guardの動作を完全にブロックして無効にするものだと述べた。さらに、この攻撃モードにより、Tencent Mobile Manager などの市場で主流のモバイル セキュリティ ソフトウェアも、携帯電話の保護に効果がありません。

銀行カード詐欺を防ぐために、公共のWi-Fiへの接続は避けてください

中国人民銀行の「非金融機関の決済サービス管理弁法」では、決済機関は決済サービスの安全性を確保するために必要な技術的手段を備える必要があると規定されており、Alipayなどのサードパーティ決済機関は、安全性を確保する義務と責任を回避することはできません。

モバイルインターネットの普及に伴い、モバイル決済に関連するネットワークセキュリティの問題がますます顕著になっています。モバイル決済によってユーザーにもたらされるモバイルセキュリティリスクを軽減し、ユーザーの損失を回避するためには、アプリケーションソフトウェアメーカーの企業責任を強化することに加え、事前に予防措置を講じることが特に重要です。

携帯電話のWIFIを介した銀行カード盗難事件が急増していることについて、専門家は、パスワードを必要としない無料WIFIの使用を避け、似た名前のフィッシングWIFIサイトに引っかからないように注意するようユーザーに勧めています。パスワードのないWIFIフィッシングサイトへの自動スキャンと接続を回避するには、携帯電話のWIFIの自動接続機能をオフにするのが最善です。


原題:Xiaomiなどの携帯電話には、銀行Alipayアカウントの盗難に簡単につながる脆弱性があることが判明

キーワード:

<<:  簡単な説明: SEO の最高レベルとは何でしょうか?

>>:  ソフトとハードの両方の手法を用いたウェブサイト最適化方法

推薦する

メールマーケティング: 外部のメールアドレスを見つける方法

電子メール マーケティングがうまく行われれば、検索エンジン マーケティング以外では最も安価で、最も効...

検索エンジンのユーザーエクスペリエンスタイトルの書き方はより人間的

私たちは普通のウェブマスターとして、常にユーザーエクスペリエンスの重要性を強調してきました。これは ...

AIコンピューティングパワーの封鎖が激化しています!米国、中国によるアマゾン、マイクロソフトのクラウドサービスの利用を制限する計画

ウォール・ストリート・ジャーナルは7月4日、米国政府が中国企業による米国メーカーのクラウドコンピュー...

英才の崩壊、あるいは地元の人材ネットワークの素晴らしい学習事例

Yingcai.com の経営不振に関するニュースは、皆さんも目にしたことがあると思います。Zhao...

Baidu検索結果パラメータF2と検索結果タイトルの関係

SEO を初めて学んだとき、次のような疑問がありました。Taobao は明らかに Baidu の検索...

分散システムにおけるインターフェースの冪等性

ビジネスシナリオ#ある会社に融資案件があります。具体的な事業内容はアリババのAnt Borrowin...

エッジコンピューティングの必要性を再検討する

エッジ コンピューティングには、限られたスペースに収まり、過酷な条件に耐え、複雑な分析ルーチンを実行...

エッジコンピューティングが IoT 戦略にとって重要な理由

モノのインターネットのビジネス価値は明らかです。多くの業界では、新たな収益源の創出、リソースの節約、...

1日あたり10万IPの映画サイトを取得するにはどうすればいいですか?映画館運営計画

ネットワーク帯域幅が増加し続けるにつれて、ますます多くのネットユーザーが映画やテレビをオンラインで視...

Microsoft Data Services は企業のデータ資産の近代化を加速します

[51CTO.com からのオリジナル記事] 2つのセッションが終了し、デジタル構築と開発について熱...

ショックホスティングはどうですか?東海岸のニュージャージーVPSの簡単なレビュー

ショックホスティングはどうですか?ニュージャージーでショックホスティングはいかがですか?中国人は西海...

ワイルドカードドメイン名でウェブサイトが解決される問題を解決する代替方法

編集者は昨年 11 月 25 日に「ウェブサイトがワイルドカード ドメイン名で悪意を持って解決された...

鐘を鳴らす:競争戦略の観点から見たブランド構築の幻想と真実

テキスト | 曽祥玲出典: 科学技術貿易摩擦が続く中、国家の自立を求める声が相次いでいる。 5月10...

「リベートウェブサイトは信頼できるか」でトップになる方法

リベート ネットワーク モデルがウェブマスターの間で人気がある主な理由は 2 つあります。1 つはバ...