Xiaomiや他の携帯電話には、銀行のAlipayアカウントの盗難に簡単につながる脆弱性が存在していることがわかった。

中国新聞社、6月16日（ITチャンネル張新南）最近、CCTVの「週刊品質報告」は、モバイル決済の多くのセキュリティリスクについて報道した。モバイルインターネットの発展とスマートフォンの普及により、第三者決済の規模は拡大しています。携帯電話システムには固有の脆弱性があるため、攻撃者は公衆無線LANを確立してトロイの木馬プログラムを埋め込むことで、ユーザーの携帯電話のプライバシーやアカウント情報にアクセスし、銀行カードやAlipayアカウントから現金を盗むことができます。 Xiaomi、Huawei、Googleなどの一部のモデルにはセキュリティ上の脆弱性があり、攻撃を受けると携帯電話のセキュリティソフトウェアが完全に無効になります。専門家は、銀行カードの盗難を防ぐために、パスワードなしで公衆 Wi-Fi に接続しないようにすることを推奨しています。

Xiaomi 2、Lenovoなどのモデルにセキュリティ上の脆弱性が発見された

Alipayと決済プラットフォームの既存の保護措置によると、ユーザーはアカウント番号、ログインパスワード、支払いパスワード、SMS認証コードの4つの防御ラインを備えた場合にのみ、サードパーティの決済プラットフォームを通じて消費振替を実現でき、各消費に対して銀行口座の変更がSMSで通知されます。では、犯罪者はこうした多重防御の下でどうやって銀行カードを盗むのでしょうか?

中国中央テレビの「週刊品質報告」によると、第三者決済を研究する北京の独立機関が、近年のアリペイを通じた銀行カード盗難事件を総括・分析し、個人情報を漏らした利用者の個人的な不注意が原因となった事件もあると指摘した。たとえば、誰かがあなたの身分証明書をコピーして携帯電話カードを申請すると、あなたの銀行カードが盗まれる可能性があります。安全でないネットワーク環境が原因で、ユーザーの銀行カード資金が受動的に盗まれたケースがかなりありました。ネットワークセキュリティ専門家のワン・タオ氏は、カフェなどの公共の場でWi-Fiに接続するといった受動的な状況が携帯電話の制御につながる可能性があると述べた。

清華大学の研究員で、国家の主要プロジェクト「Linux/Androidオペレーティングシステムのセキュリティ脆弱性検出」研究チームのリーダーであるZhuge Jianwei氏は、セキュリティ上の脆弱性のある携帯電話に対して、攻撃者は公衆フィッシングWi-Fiを設置し、無線ルーターを構成し、それをユーザーの携帯電話がインターネットにアクセスするための仲介ノードとして使用すると述べた。ユーザーの携帯電話がこのような公衆 Wi-Fi に接続されている場合、ユーザーのインターネット トラフィックは攻撃者が指定したラップトップまたは PC にハイジャックされます。モバイル インターネット ユーザーのデータ フローが攻撃者にハイジャックされると、ユーザーがクリックした Web ページに攻撃者によって悪意のある攻撃プログラムが挿入される可能性があります。また、携帯電話固有の脆弱性を悪用して新しいトロイの木馬プログラムが埋め込まれ、攻撃者が携帯電話を完全に制御できるようになるため、携帯電話に保存されているユーザー情報を読み取ったり、携帯電話にインストールされているアプリケーションを制御したりできます。さらに、制御を獲得した後は、検証 SMS を完全にブロックして Seventeen を無効にし、悪意のある転送を実行できるようになります。

調査の結果、研究者らは、Xiaomi 2、Samsung Galaxy S4、Google Nexus 4、およびHuaweiとLenovoの一部のモデルに、ROOT権限昇格のセキュリティ脆弱性があり、攻撃者が携帯電話の最高権限を取得できる可能性があることを発見した。

携帯電話システムの脆弱性により、安全な携帯電話ソフトウェアが無効になる

調査対象となった携帯電話にはすべて、国内で主流のモバイル セキュリティ ソフトウェアがインストールされていました。 CCTVの報道によると、専門技術者がシステムのセキュリティの抜け穴を利用してアリペイ攻撃送金テストを行った際、携帯電話にインストールされていたセキュリティソフトウェアはセキュリティ保護対策を一切講じていなかったという。

この点について、諸葛建偉氏は、この攻撃モードはブラウザの脆弱性とローカルルート権限昇格の脆弱性を組み合わせてさらなる攻撃を実行し、360 Mobile Guardの動作を完全にブロックして無効にするものだと述べた。さらに、この攻撃モードにより、Tencent Mobile Manager などの市場で主流のモバイル セキュリティ ソフトウェアも、携帯電話の保護に効果がありません。

銀行カード詐欺を防ぐために、公共のWi-Fiへの接続は避けてください

中国人民銀行の「非金融機関の決済サービス管理弁法」では、決済機関は決済サービスの安全性を確保するために必要な技術的手段を備える必要があると規定されており、Alipayなどのサードパーティ決済機関は、安全性を確保する義務と責任を回避することはできません。

モバイルインターネットの普及に伴い、モバイル決済に関連するネットワークセキュリティの問題がますます顕著になっています。モバイル決済によってユーザーにもたらされるモバイルセキュリティリスクを軽減し、ユーザーの損失を回避するためには、アプリケーションソフトウェアメーカーの企業責任を強化することに加え、事前に予防措置を講じることが特に重要です。

携帯電話のWIFIを介した銀行カード盗難事件が急増していることについて、専門家は、パスワードを必要としない無料WIFIの使用を避け、似た名前のフィッシングWIFIサイトに引っかからないように注意するようユーザーに勧めています。パスワードのないWIFIフィッシングサイトへの自動スキャンと接続を回避するには、携帯電話のWIFIの自動接続機能をオフにするのが最善です。

原題：Xiaomiなどの携帯電話には、銀行Alipayアカウントの盗難に簡単につながる脆弱性があることが判明

キーワード: