在“移动网络安全解读”为主题的数博会网络沙龙上，网络密码认证北京重点实验室主任胡祥义接受媒体记者的采访时表示，目前第三方移动支付在便捷的同时仍存在重大隐患，需要各方合力保护百姓的钱袋子。

    胡祥义介绍，当前，国内主要由第三方支付企业为用户建立虚拟的第三方支付帐户来提供移动支付的服务，如阿里的支付宝，腾讯的财富通。这类服务采用常见的口令或者密码技术验证码认证技术来实现支付。这种认证、支付的方法，具有支付速度快，操作简单、便捷，成本低廉等优势，深受社会和广大用户的青睐。

    “然而，这样的便利也伴随着很大的隐患。”胡祥义说，由于这些第三方支付企业提供系统的支付单缺少签名功能，同时在手机端没有加密芯片、硬件进行防护，黑客可以通过截获并替换支付单的内容，实现对移动支付协议有效攻击，同时盗取帐户中的资金。

    他解释，目前黑客的攻击主要方法是利用基站或计算机病毒阻止用户发送给支付验证服务器的验证码，并替换支付单中收款人的姓名、开户银行和帐号，从而来攻击支付系统，盗用帐户资金。

    这样一来，即使银行支付后，验证服务器回复到用户手机端的短信提示也很难引起用户的怀疑，因为，转出多少钱是用户自己操作的。同时，黑客还能批量的替换支付单中间的内容，从而实现集体盗取或者批量盗取用户的资金，造成较坏的社会影响。

    在胡祥义看来，目前通用支付体系安全等级十分的低，第三方移动支付企业为老百姓提供的移动支付存在着重大隐患。

    “不过，虽然第三方支付存在着一定的安全隐患，但并不是说不能用。” 胡祥义建议，用户首先要加强自身防范意识，同时，在企业的虚拟帐户里面，不要存放太多钱。

    胡祥义补充，除此之外，网络密码认证北京重点实验室已经研发基于垂直模式的网络认证架构，架构采用单样密码算法，加密芯片建立了芯片级的可信移动支付系统，完全自主可控。也就是在手机端和移动支付的认证中心端都要使用加密芯片，建立带签名功能芯片级的移动支付协议，解决海量用户并发认证和并发签验的难题。

    “我们将保护好老百姓的钱袋子。”胡祥义说，目前平台已在部份城市开始试点，实验室将与合作的银行，共同为用户建立金融级移动支付帐号，为老百姓免费提供手机端的加密芯片，提供高安全等级的移动支付。