手机当钱包尽量别“越狱” 网络安全有条件

　　支付宝钱包，微信理财通，银行手机客户端，移动理财与支付……昨天本报焦点报道《你的手机钱包安全吗？》引来多方关注。沪上多位网络信息安全专家纷纷指出，移动互联网应用方兴未艾，安全保护措施尚不到位，用户使用手机钱包不能一味追逐快捷体验，移动支付开发商更不能一味靠“快钱”吸引用户，亟需自补“安全课”。

　　网络安全有条件

　　打开手机，接收校验码，输入点确认，就能转账汇款、网络交易、购买基金，甚至和朋友一起AA制消费。“自从装了各种金融客户端，就不再跑银行排队等号了。”30岁出头的白领叶欢，每天出门时钱包可以不带，手机不能离身——不仅用它听音乐、玩游戏、看视频，更把所有家当都装在里面：银行手机客户端里是个人存款，工资卡绑定了支付宝，结余的零花钱微信上买基金……只需短信验证码和支付密码，手机立刻变身一台个人ATM机，钱款往来随时随地。

　　在许多网络安全专家眼里，这却不是万无一失的安全之举。因为，任何网络信息安全都是有条件的，一旦某个条件被破坏，信息安全遭受巨大风险。对移动金融安全来说，手机就是这把安全锁，如果手机丢失或者手机本身存在安全隐患，手机钱包很可能被他人盗取。“所以，对自己的手机应该像钱包一样看牢，时时提防被盗。”

　　手机刷机很危险

　　一位不愿透漏姓名的资深网络专家告诉记者，很多用户手机虽然没丢，可手机钱包的“安全拉链”，早早已被层层拉开——刷机。

　　“手机刷机，是一个十分危险的举动，就像把自家手机的安全阀拱手让人。各类型的手机出厂时，通常会设置一定的访问屏障，防止外来软件获取手机系统内的核心数据。手机刷机后，外来的访问权限被设置为最高级别，在手机操作系统中畅通无阻。用户虽然绕过了安装软件要付费这一关，却也敞开了手机内部最后一道防线。手机内部留存的信息数据、各类账号密码、短消息验证码等，就能被木马病毒轻松翻阅、传送。”

　　“安全拉链”不能省

　　网络安全专家提醒说：从某种程度上说，网络用户体验和网络信息安全成反比。网络操作一味追逐便捷省力，有时是以牺牲信息安全为代价的。

　　例如，有些网络交易提供小额支付免密的超级服务，要知道我们去银行取一元钱都要输入密码，手机钱包支取银行卡的钱，为何就不需要密码了？其中的“安全墙”是如何被破解的？……“在网络信息安全领域，多一道坎，就意味着一道有效的安全屏障；相反，少一步操作，就减少了一层保护。大家装钱包时，不会只图使用方便，不拉拉链或放置在显眼易得之处；当手机变身钱包，该有的‘安全拉链’也是一步不能省的！”

　　现阶段的移动互联网犹如十多年前刚刚起步的互联网，开发者更注重创新技术和产品，网络安全意识淡然。同时，移动互联网安全领域并无标准和规范，就连基本的恶意软件行为尚无定论。而且，很多手机软件客户端使用“类病毒”推广方式，安装前要求强制访问手机通讯录、短消息、位置服务等，这些与软件服务内容并无直接关系，用户拒绝就无法安装软件。

　　因此，若将手机当钱包，用户需要增强自我安全意识。信息网络安全公安部重点实验室主任金波博士指出，“手机验证码+支付密码”的双因素验证模式，总体还是安全的。他建议：

　　■ 使用智能手机，尽量不“越狱”，不在已经“越狱”的智能手机上实施各种金融操作；尽量不要安装来历不明的软件；

　　■ 使用操作系统相对封闭的智能手机，并设置开机密码。

　　■ 手机丢失后，第一时间挂失SIM卡。即使手机被使用，也无法再接受相应的短信验证码。

　　■ 用户补办手机卡时，运营商要严格把关身份核验，保证用户的手机卡不被他人盗办冒用。　　　　　　本报记者 马亚宁