4月28日晚上10点，记者正在和朋友打电话，通话过程中收到三条短信。挂断电话后记者发现，三条短信都来自支付宝，第一条显示申请找回密码，第二条显示申请修改密码，第三条显示支付宝余额被全部转出。同一时间QQ显示异地登录被强迫下线，随后确认QQ密码也被修改。

还好，记者并未产生损失，因为这是记者与黑客“水波”的一次远程盗取手机信息演示。远在杭州的“水波”就在20多分钟的通话时间里，成功获取了记者手机登录过的所有软件、银行账户密码、部分照片及全部信息，一切只因记者打开了他短信发送来的一个网址……

演示：远程抓取密码只要几秒

“所有的一切都是在手机上网的环节中进行，所以首要条件是手机正连接WIFI或打开了数据连接，黑客才能轻松获取你手机上的信息。”正在杭州出差的某信息公司西南大区技术总监“水波”告诉记者。此前他发送了一条短信给记者，短信内容是一条短网址，从网址本身看不出任何不妥，点开网址后没有打开任何网页，但记者的手机已然被种下“木马”。除了短网址，二维码也能轻松实现给手机安装“木马”，“有可能是一个外观正常仿冒官方应用的安卓应用程序APK，也有可能你什么都看不到完全通过后台进入你的手机。”

只要手机被种下“木马”，就向黑客打开了方便之门，轻松获取手机上的所有信息，甚至可以远程监控你收取的短信内容，形同“裸奔”。因照片等数据量偏大，被黑客获取的时间会稍长一点，但各种密码则能在数秒之内被黑客远程抓取。

“手机登录过的所有密码信息，都会保存在手机的系统文件内，黑客只需通过关键字段扫描就可以几秒钟获取。我刚刚让你打开的网址就是被我挂了手机木马的地址。”在水波看来，安卓手机的安全性完全没有得到用户的重视，但其危害性巨大。

在移动支付越来越普及的当下，安卓手机的安全性正成为业内最关注的话题，然而至今仍没有一个完整的解决方案。“移动支付安全与风险防范也是我最近在研究的课题，很遗憾，安卓的安全缺陷是天生的，无法完全弥补。”水波还告诉记者，“编写恶意程序或代码盗取安卓手机用户信息和密码的门槛并不高，只要稍微精通编程的人就可以实现。哪怕是反编译一个安卓软件并在软件内置入木马或恶意程序，长一点的也仅需一两天。”

调查：安卓的开放性成隐患

安卓系统能够在几年时间迅速在全球发展到10亿用户，其优势在于开放性，正是由于完全开放源代码，所以能够被手机厂商或第三方开发者轻松修改成各种形式，同时也方便应用开发者为其开发大量的手机应用软件。

但安卓手机的不安全因素也恰恰是其开放性。“任何一个黑客都能够轻松编写一套恶意代码或软件，通过网络散播出去，加之安卓的开放性，各种应用商城根本不会对软件进行一一核查，导致手机木马和病毒的泛滥，包括Google自己的应用商城都充斥着各种恶意软件，盗取用户手机流量、通信录是常有的事。之前360就公布过安卓手机病毒已经多达80万种，而这个数据分分秒秒都在刷新。”

近日，据国家互联网应急中心统计，2013年手机病毒继续呈爆发式增长，一年增长5倍。其中，安卓恶意程序占97%。

原本安卓是一个权限分离的操作系统，但是安装应用时很少有用户会仔细查看该应用所需要的权限，一款应用应该根据自身提供的功能，要求合理的权限。用户也可以分析一款应用所需权限，从而简单判定这款应用是否安全。“如一款应用是不带广告的单机版，也没有任何附加的内容需要下载，那么它要求访问网络的权限就比较可疑。手机木马和病毒则完全无视合理权限，手机用户很可能引狼入室导致损失。”

提醒：苹果手机且莫越狱

据水波介绍，苹果手机拥有两个优势，第一是系统完全封闭，苹果公司不允许任何软件调用系统和用户个人信息，任何使用软件登录的账户和密码都是单独加密并不能被其他软件调用。其次是苹果公司有完整的并且唯一的软件审核体系和下载渠道，不允许任何软件出现非合理权限，审核过程非常严格，没有软件能钻空子。“但是一旦用户将苹果手机越狱，通过第三方渠道安装应用软件，那么苹果的安全性也就不保了，这其中包括部分用户为苹果手机安装第三方输入法而越狱的行为。”

随着支付宝、微信支付的兴起，手机用户也越来越依赖这种便利的支付方式。我们期待网络安全公司能够推出更安全的解决方案，让我们的手机用得更放心，支付更安心。

黑客支招:

如何避免手机泄密

第一 不要安装任何第三方应用程序，特别是通过邮件、论坛传播的应用程序。

第二 如果要实现手机支付，尽量到其官方网站下载，而不要通过任何软件商城下载。

第三 不要将安卓手机人为破解ROOT获取最高权限，尽量不要刷机安装第三方操作系统。

第四 要尽量安装手机安全软件。水波推荐的手机安全软件名为LBE安全大师，据称是唯一一款主动防御并监控手机应用软件提取信息或敏感动作的软件。

第五 类似今年愚人节通过微信发送短连接弹出窗口点“确定”愚弄人的手段，是最容易传播手机木马和病毒的，如果打开类似网页要立刻关闭微信客户端并在后台退出，再重新打开即可避免。

第六 尽量少用数据线直接连接电脑，因为如果电脑中被安装有手机木马或病毒，可直接通过ADB PUSH推送相应恶意程序到手机，即使手机不开机。

链接

手机木马公然网上叫卖

在水波提供给记者的安全课件里，记者发现了一张演示手机获取他人短信的照片，图片中清晰可见“咖啡科技提醒您，有人上钩了，争取机会哦”。记者通过互联网搜索“咖啡科技”，该网络ID制作有视频实战教学，通过网络教授利用木马程序获利的操作过程，并且在其网站上还明码标价300～500元的各种木马程序，其中不乏银行程序、淘宝、QQ等量身定制的木马程序。而其公布的QQ号码资料内不仅有网站地址、电话号码，还有其学历研究生，这种明目张胆的行为令人咂舌。