最新數據顯示，我國移動支付用戶規模達到2.05億，半年度增長率為63.4%，網民手機支付的使用比例已提升至38.9%，達5.27億。伴隨著消費邁入移動支付時代，越來越多的手機成為“第二錢包”，但移動支付的安全性仍遭到不少質疑。

   日前，360互聯網安全中心發布《2014年第二期中國移動支付安全報告》，最重要的內容是對目前安卓平臺上使用率較高的16家銀行的16款手機客戶端的安全性做了一次專業測評，指出國產多個手機銀行客戶端有多處可被黑客利用的安全隱患，并表示已將漏洞移交給銀行。

   專家提醒，用戶日常多些良好習慣和防范措施，可降低不少的安全隱患。

手機銀行客戶端存安全隱患

   360互聯網安全中心數據統計顯示，本次測評的16款手機客戶端軟件中，除了1家銀行之外，其他銀行的手機網銀客戶端軟件均存在盜版現象。

“測試的版本都是網上能下載到的最新版的銀行手機客戶端。”據360安全專家講到，測評的主要內容包括登錄機制安全性、鍵盤輸入安全性、Activity組件安全性、進程注入防護、反盜版能力和認證因素安全性這6個主要方面的8項具體測試，“是非常全面的一次安全性測評。”

   記者在報告中看到，這16款最新版本的銀行手機客戶端僅個別APP在登錄、鍵盤輸入環節安全性較高，但在后面幾項關鍵性測評中所有APP都拿了零分。“為避免具體測試方法和銀行客戶端漏洞被人惡意利用，我們暫時不會公開每個銀行客戶端的具體測評結果及敏感測試細節。”360有關負責人官方表示，目前秘密報告已經提交給了各家銀行，也會做后續跟進。

   有專家表示，手機銀行客戶端作為網上支付的重要工具， 其自身的安全性是網民賬戶、資金安全的基礎。“目前手機銀行客戶端軟件采用的多是‘賬號密碼+短信驗證碼’的認證體系，在面對具有短信劫持功能的手機木馬攻擊時，都顯得非常脆弱。”這位安全專家直言，雖然已經有部分銀行開始推廣音頻盾、藍牙盾等雙因素認證系統，但這些系統的使用不是強制性的，絕大多數用戶仍在使用“賬號密碼+短信驗證碼”的認證方式。“一旦被可短信劫持的木馬感染，這種雙重保險依舊存在安全隱患。”“更可怕的是，一款惡意程序甚至可以同時監測、仿冒和劫持多個銀行客戶端的登錄界面。”該專家表示，根據報告測評結果顯示，在16款手機銀行客戶端軟件中，沒有任何一款客戶端能單獨解決這類問題。

   此外，360互聯網安全中心數據統計顯示，本次測評的16款手機客戶端軟件中，除了1家銀行之外，其他銀行的手機網銀客戶端軟件均存在盜版現象。

移動支付注意加強防范

   目前各大銀行的官方網站上都會有手機APP的下載入口，同時用戶還應及時為手機系統打上安全補丁以阻止木馬入侵，或安裝安全軟件。

   據報告顯示，正版下載量越高的網銀App，盜版版本數也相對較多，個別客戶端甚至有20個以上的盜版版本。“用戶最好從正確的渠道下載支付軟件。”某銀行電子銀行部門工作人員表示，目前各大銀行的官方網站上都會有手機APP的下載入口，一些銀行還有相應的業務指南、開通流程和演示頁面，用戶可通過銀行的官方渠道下載手機APP，避免盜版版本的侵害。“同時，用戶還應及時為手機系統打上安全補丁以阻止木馬入侵，或安裝安全軟件，在木馬裝進手機之前將其查殺。如發現問題后，第一時間致電銀行客服熱線進行封鎖賬戶或掛失等相關補救措施。” 某銀行電子銀行部門工作人員稱。

   除從下載軟件渠道防范手機支付風險外，用戶日常的使用習慣還需多加注意，一些良好的習慣同樣能減少你手機支付的安全隱患。“日常要養成良好的手機使用習慣。”有銀行人士表示，目前國內的移動支付仍處在發展起步階段，只要安全性能得到保障，移動支付的便捷性一定會讓移動支付有更大的應用空間。就現在發現的一些隱患問題主要還是市民安全意識不強，所以，用戶安全地使用手機支付從良好習慣出發。“不要輕信陌生人發來的二維碼信息，同時最好保持設置手機開機密碼的習慣，并使用數字證書、寶令、支付盾、手機動態口令等安全必備產品。”該人士強調，目前很多騙子通過偽基站技術可以將所發信號碼偽裝成銀行官方客服號碼。因此，即使是銀行官方客服號碼發來的類似短信，也不要輕信。“如果收到此類短信后自己有擔憂，也一定不要直接撥打短信中留下的聯系電話，而是要通過銀行官方客服進行咨詢。”

   專家還建議，用戶不要在手機上安裝來歷不明、可能有危險的程序，同時還應設置敏感應用的訪問密碼；如遇手機遺失，立馬遠程銷毀手機數據。此外，用戶也應盡量減少個人信息泄露，尤其是手機號、身份證號、電子郵箱等敏感信息，避免不必要的泄露。