据央视报道,自今年3月以来,北京地区已接报十余起相关银行卡盗刷案件。这些案件的共同特点是盗刷行为发生在深夜,不少受害人是在第二天醒来后才发现账户异常。
银行卡信息(卡号和密码)并没有泄露,盗刷是怎么完成的?警方一开始也感到疑惑,经过询问,很多事主才不好意思地承认,他们之前都下载过色情App。警方通过调查发现,这些色情软件在下载安装时,都会诱导用户启动“无障碍权限”,这就是诈骗分子之后能够远程操控受害人手机的关键。
iOS从3.0版本开始提供操作系统级无障碍权限,Android从 4.0版本开始开放完整的无障碍权限。无障碍权限的初衷是打破移动操作系统的使用壁垒,为残障用户(视觉、听觉、肢体、认知障碍等) 提供操作系统级的操作辅助能力,让其能像普通用户一样正常使用智能手机的核心功能;同时兼顾部分特殊场景的便捷化需求。主要包括:
视觉障碍适配:允许辅助应用读取屏幕所有内容(文字、按钮、界面布局),结合语音合成技术实现屏幕朗读,让视障用户能 “听” 到手机内容;同时支持屏幕放大、高对比度显示等辅助,适配低视力人群。
肢体障碍适配:允许模拟屏幕点击、滑动、长按、输入等操作,替代物理按键 / 触屏的直接操作。肢体活动受限的用户,可通过语音、单指简易手势、外接设备(例如眼控仪)等完成解锁、打开应用、输入文字等核心操作;
听觉障碍适配:支持将系统语音、通知音效转化为视觉提醒(如闪光灯闪烁、屏幕弹窗文字),同时读取音频 / 视频的字幕内容并放大,让听障用户感知设备的声音类信息;
认知障碍适配:允许简化系统界面、屏蔽冗余信息、定制固定操作流程,降低认知障碍用户的操作理解成本,比如一键打开常用应用、自动完成固定步骤(如拨打电话)。
开通无障碍权限,能够让因身体障碍而无法使用手机的用户正常使用,让普通用户在特殊场景下使用更便捷。例如,老年用户可通过无障碍辅助应用实现大字体 + 语音播报,解决视力、操作反应下降的问题;用户开车,可通过语音触发的无障碍服务完成免手操作(接电话、发消息),提升行车安全,等等。然而,无障碍权限能读取屏幕内容、模拟系统操作,属于系统高危权限。因此,主流移动操作系统均对该权限进行严格限制。例如,iOS 18支持无障碍权限实时监控,显示应用使用无障碍功能的行为日志,支持一键关闭异常应用权限;Anroid 13细化无障碍权限管理,支持对 “屏幕读取”“模拟操作” 等子权限单独授权,等等。
据民警介绍,在诱导受害人启用“无障碍权限”后,诈骗分子还会通过色情软件套取受害人的手机开屏密码,甚至通过自带的反删除功能,阻止受害人删除该软件,方便后续持续操控。在获取了无障碍权限后,骗子专挑深夜受害人熟睡的时候动手,然后畅通无阻地查询手机里的银行卡信息、套取银行卡密码,甚至偷偷开通其他支付渠道。更恶劣的是,他们还会悄悄换绑受害人的手机号,让受害人收不到银行发送的短信验证码。如此一来,骗子就能随心所欲地用受害人的银行卡消费转账。
近日,中国人民银行发布〔2026〕第8号公告,对《电子支付指引(第一号)》等四项金融规范性文件进行了修改,将于2026年5月15日起正式施行。新修改的《指引》进一步明确了对商业银行电子支付(包括网上支付、电话支付、移动支付(885333)、销售点终端交易、自动柜员机交易和其他电子(881123)支付)的指导意见,要求商业银行履行投诉处理的主体责任,鼓励商业银行在其评估为风险较高的电子支付业务采用数字证书、电子签名等高安全认证方式。
金融行业标准JR/T 0068《网上银行系统信息安全(165523)通用规范》指出,“网上银行客户端(包括手机银行App)环境通常不具备或不完全具备专用金融交易设备的可信输入能力、可信输出能力、可信通讯能力、可信存储能(885921)力和可信计算能力,因此,需要使用专用安全机制”。该标准还规定,“资金类交易中,应具有防范客户端数据被篡改的机制,应由客户确认资金类交易关键数据(至少包括转入账号和交易金额),并采取有效确认方式以保证交易信息不被篡改,例如……在智能密码钥匙内完成确认等”。飞天诚信(300386)#bInterPass3000(“蓝牙二代key”)就是一种符合JR/T 0068要求的专用安全机制。该产品具备以下特点:
“所见即所签”:交易时通过自身屏幕显示交易信息供用户核对,待用户按键确认后生成交易所需的数字签名,超时自动取消。即使骗子在受害人熟睡时发起交易,也无法得手;
防远程控制:报文解析及确认响应等关键环节在产品内部的安全芯片完成,不受外界干扰。即使用户手机被远程控制,攻击者也无法操控bInterPass3000,因而能够有效阻断电信诈骗。
技术本身没有善恶,关键在于使用者的选择。无障碍权限本是一项充满人文关怀的设计,为无数残障人士打开了数字世界的大门;但当它被不法分子利用,就会成为深夜里的"隐形黑手"。作为普通用户,我们需要提高警惕:不轻信、不下载来源不明的App,不随意开启系统高危权限,定期检查手机权限设置。
同时,金融安全不能只靠用户的"火眼金睛"。央行此次修订《电子支付指引(第一号)》,正是从制度层面推动商业银行发挥主观能动性,在风险评估的基础上主动采用更高标准的安全认证机制。而像飞天诚信(300386)bInterPass3000这样的专用安全设备,则通过"所见即所签"和硬件级防护,为用户的资金安全筑起最后一道"物理防线"。
真正的安全,不是让用户在便利与风险之间做选择题,而是通过技术与制度的双重保障,让每个人都能安心享受数字金融带来的便捷。 当深夜来临,愿您的手机安静沉睡,账户安然无恙。
(最后说一句:"养龙虾"同样需要开通文件读取、模拟用户操作等权限,也属于"系统高危"范畴,务必警惕!)
