7月17日，由《中国信息安全》杂志社与百度安全实验室联合举办的《互联网金融&移动支付安全专家研讨会》在北京举行。中国人民银行科技司司长王永红、中国互联网协会秘书长卢卫，以及来自中央网络安全和信息化领导小组、中国信息安全评测中心、最高法院、银监会、中国银联等信息安全界、金融界、法律界、互联网领域的资深专家出席了会议。会上，百度移动安全总经理张磊就互联网金融繁荣发展背景下备受关注的移动支付安全问题与在场专家一起展开深入的讨论，并提出了“三位一体”的移动支付安全解决举措。

　　百度移动安全总经理张磊揭露移动支付安全问题并提出三位一体解决举措

　　移动支付安全问题成隐忧

　　2014年是移动支付爆发增长的一年。中国银行发布的2014年第一季度支付体系运行总体情况显示，仅今年第一季度国内移动支付业务6.59亿笔，金额3.89万亿元，同比分别增长232.20%和255.37%。与此同时，移动支付的迅猛发展却带来了不容忽视的支付安全问题。

　　百度移动安全总经理在会上表示，从去年开始移动安全问题愈发凸显，手机病毒几乎每季度按照倍数增长。截止目前百度安全实验室发现的手机病毒样本超过600万，数量之大，增长之快让人瞠目结舌。据百度安全实验室发布的2014年Q2移动安全研究报告结果显示，今年第二季度新增新型病毒更达到293,600个。其中针对网银、支付、购物应用和社交应用的山寨情况持续泛滥，仅是各种网银应用的新增山寨版本就超过了500款。手机中的金融，购物，社交等应用成为了恶意软件开发者的最大目标。

　　除了增长快以外，支付病毒技术也不断演进。张磊表示：“窃取网银账户密码的病毒已经进化到了第四代，能力更强大，让人防不胜防。”据介绍，第四代病毒可以远程操作恶意代码，通过正常的应用扫描用户手机银行应用，再远程操作下载一个山寨网银应用替换，神不知鬼不晓地窃取了用户的银行账户和密码。百度手机卫士近期发现的“山寨网银”“银行悍匪”病毒便属于这一类。

　　移动支付安全的四大威胁

　　与传统涉及钱财的安全威胁相比，移动支付安全威胁变得更为复杂。据张磊介绍，新型移动支付安全风险主要来自恶意山寨应用、不明WiFi网络环境不安全、支付应用自身漏洞、验证短信不安全四大方面，涉及手机网银、支付应用下载，支付前，支付中，支付后整个环节。

　　支付应用是手机支付的“源头”，安全最为重要。张磊指出，去年开始恶意山寨应用开始冒头，用户最常用的淘宝、支付宝、京东商城、美团、天猫等应用成为山寨应用眼中的“香饽饽”。由于这类应用往往都需要用户输入账号密码等隐私信息，一旦用户使用山寨应用，用户金融类隐私就会轻易被窃取。百度安全实验室监测数据显示，每天有超过8000万用户使用支付类软件，其中1400万用户面临支付安全风险，所占比例高达18%。

　　与此同时，来历不明的免费WiFi也让人防不胜防。据了解，当今黑客通过免费WiFi设置陷阱，诱骗用户登陆后，监视并窃取用户网银等隐私信息，进而盗取用户财产，目前有超过1000万的手机用户面临免费Wifi陷阱的威胁。

　　除此以外，网银、社交等应用本身的漏洞以及支付的验证短信息也成为不法分子觊觎的对象。百度手机卫士发现的支付宝大盗病毒便是利用了支付宝可修改账户密码的途径，通过读取短信，钓鱼网站和诈骗电话等方式获取用户手机号码、身份证，支付宝账户等信息，进而通过修改支付宝账户和密码的形式，窃取用户支付宝、绑定银行卡中的费用，并且拦截银行、支付宝的验证码短信，让用户无从知晓。

　　“三位一体”构建健康行业生态

　　针对复杂而严重的支付安全问题，解决途径成为移动支付产业链各参与方面临的共同挑战。张磊表示解决支付安全问题需要各方合作，通过“三位一体”的举措，构建健康的移动支付行业生态。

　　他指出，百度手机卫士作为一款终端安全产品，侧重通过技术手段有针对性的解决移动安全问题。据介绍，针对四类手机支付安全威胁，百度安全实验室独创了应用加固、反篡改、反注入、反调试、反恶意“4+1技术解决方案”，以遏制山寨软件的盗版，以及病毒恶意注入正规应用的行为，对手机应用从底层技术上进行保护。而除了在安全技术方面给用户提供保障以外，百度手机卫士还推出了“安全支付亿元保赔”计划，如果遭遇损失可获得百度手机卫士全年最高10万元的赔偿。张磊表示：“这种方式是对用户情感需求的满足，让那个用户移动支付的时候更放心更安心，只有这样才能真正实现一个含片的价值。”

　　张磊同时也建议，对行业来说最为重要的是需要产业链各方的合作，不仅仅是靠百度，还需要政府机构、银行、第三方开发者共同协作，打造健康的生态产业链。“如果不能说和所有人合作，只是把单点保护起来，没有用，三位一体的保护才能给用户满足需求。”

　　百度在移动支付方面的行动与领先的理念也得到与会专家的赞同，中央网络安全和信息化领导小组的安全专家杜跃进表示：“移动支付安全，不只是安全技术的博弈，应该是一种全面的博弈，这里面包含法律、政策、标准各个方面与金融的结合。实际上，在移动支付安全领域，保险确实是一种很好的尝试和体验，它能给用户带去更多的安全感。”

　　中国人民银行科技司司长王永红对于百度技术防范举措以及满足用户安全的情感需求的做法也表示认同，他同时指出除了在安全技术上不断追求进步，移动支付领域需要尽快出台相关移动安全规范，除此之外，整个行业各方需要注重用户的教育，提升用户支付的安全意识，这样各方结合起来才能从根本上解决安全问题。