前不久,一则《余额宝被盗刷6万多元支付宝让失主“耐心等待”》的新闻引发了笔者的密切关注,不仅仅因为笔者也是余额宝的用户,更重要的一点,这则事件可能折射出支付宝在安全上所存在的某些漏洞,如果这些漏洞确实存在,那么支付宝提升安全保障将刻不容缓,否则还会有更多用户遭遇此类事件。
为了将支付宝的整个安全机制搞清楚,笔者花了几天时间来研究,其中分为几个部分,一个是研究支付宝相关的安全功能,以及它们是如何协同工作的;另一个是根据网上所公布的一些信息和案例来分析,核实相关问题,并找到问题的原因所在,通过这两个部分相结合的方式,笔者发现支付宝还真有很多安全问题需要解决。
1.对手机过于“依赖”而产生安全隐患
网上所提到的支付宝有诸如小额免密码支付、绑定银行卡快捷支付等存在漏洞,这些功能确实有问题,但相关功能用户也可以关闭,这个我们待会儿再谈。这里先谈谈很多用户无法改变,但确实很严重的一个问题,就是支付宝对手机过于“依赖”而产生安全隐患。
对一般用户而言,涉及支付宝安全的关键词有如下几个:用户名、登录密码、支付密码、数字证书。只要在上述几个条件满足的情况下,用户就能完成支付。对不法分子而言,他们如果要盗取用户的支付宝账户,则必须解决上述几个问题,别以为这几个问题很困难,只要用户的手机被植入木马,或者手机卡被复制,不法分子就极有可能盗取用户的支付宝账户。
用户名相对容易获取,而登录密码、支付密码,也都可以根据短信验证进行修改,注销和安装数字证书也同样如此。一种情况是,用户的手机被植入木马,黑客在操作过程中,通过木马拦截用户短信,获取验证码,而用户全然不知;还有一种情况是直接复制用户的手机卡,如下图所示。
换言之,只要手机被控制,或者手机卡被复制,不法分子就有可能进行某些设置,比如修改密码、开通无线支付、开通余额支付等等,通过这些手段盗窃用户的钱。当然,一般不法分子还会掌握用户的身份信息,因为在支付宝的某些服务中,需要输入身份证验证,但有的却不需要。总之,对手机过于“依赖”必然会产生极大的安全隐患。
2.手机号绑定的相关问题
上面提到的问题是不更改用户绑定到支付宝的手机号可能会产生的风险,还有另外一种情况,则是修改手机号绑定,也就是说,将原来的手机号解绑,不法分子将自己的手机号绑定上去。笔者对这个方面进行了一定的研究,发现其实不法分子要修改手机号绑定,还是比较麻烦的。
由于笔者是使用邮箱来注册支付宝账号,笔者尝试修改手机号绑定时,系统提示必须根据人工审核来完成修改,其中有以下几个步骤,首先是支付宝会往邮箱发送一份确认链接,然后用户点击之后,会进入一个“自助服务”页面,接下来有几个步骤,如下图所示。应该说整个确认过程还是相对完善,如果用户的信息没有泄露,基本上不法分子想修改绑定手机号还是蛮困难的。不过这一系统仍有漏洞,笔者在不登陆支付宝的情况下,仍然可以访问支付宝所发送的确认链接,而且似乎不存在有效期问题,即便是三天五天之后访问该链接仍然有效,这很令人纳闷儿。
而对于手机注册用户,问题却要简单一些,因为不含邮箱,系统会提示输入邮箱,接下来,系统会往邮箱发送申请表,整个过程和上面的第3步相同。可以看出,手机注册用户安全性应该不如邮箱用户,不过,手机注册用户仍然可以添加邮箱账号予以完善。
因此,我们不太建议用户使用手机号来注册支付宝,如果使用邮箱注册支付宝,我们也不建议大家开通手机登陆功能。
3.手机钱包的安全隐患
再来说支付宝手机钱包的安全隐患,笔者最初使用支付宝手机钱包时,发现某些时候居然不用输入支付密码就能转账,这就是小额免密码支付功能,虽然方便,但确实很不安全。尤其是,已经有用户在IOS系统上测试,先关闭网络再登陆手机支付宝,5次划错密码手势,后台关闭支付宝软件,再次打开就可以设置新的手势,连上网后就能进入软件。若该账户设定了小额免密支付就可能存在被盗刷的风险!
当然,手机钱包的问题还不止于此,笔者之前开通了每月6毛的短信校验服务,开通该功能以后,每笔转账无论大小都必须通过短信进行验证,该功能在PC上使用并无问题,但在手机上却无法使用。也就是说,支付宝并未对手机钱包同步覆盖该功能。
这也是一大问题,众所周知,支付宝对PC端转账进行收费,其目的就是为了推广移动端,但相比之下,移动端的支付宝钱包在功能、安全性方面仍处于初期阶段,未来支付宝必须加快步伐,对移动端进行完善。当然,对于使用支付盾的用户,我们建议关闭无线支付,否则安全隐患仍可能存在。
除开这些问题以外,用户在使用支付宝手机钱包时,仍要特别注意定期对手机查杀病毒木马,不能随便访问未知网站,也不能随便扫描二维码,因为这都可能导致用户手机中病毒。
4.PC中木马导致支付宝钱被盗
还有一种情况,就是PC中木马,导致支付宝钱被盗,黑客利用木马远程控制用户的电脑,同时他们也可能早已经掌握用户的登陆密码和支付密码,这时候,他们就可以直接在用户电脑上进行操作。当然,如果用户设置了短信验证等功能,在手机未中病毒或者手机号未泄露的情况下,仅仅有这些步骤将无法完成资金盗窃,不过这种情况仍不得不防。
当然,对大家熟悉的像小额免密码支付功能、快捷支付功能我们就不再赘述,网上已经讲了很多了,希望大家关闭这些功能,确保自己账户安全。

余额宝遭盗频发 再曝支付宝安全漏洞相关推荐

  1. OpenSSL再曝CCS注入漏洞-心伤未愈又成筛子

    太戏剧了,昨晚看了佳片有约,还不错,2012版的<完美回顾>,像我这样的人依旧选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有非常多的想法,这是用电脑或 ...

  2. 10秒破解一辆特斯拉?!网安人员再曝特斯拉低级漏洞,成本只要1000块?

    明敏 发自 凹非寺 量子位 | 公众号 QbitAI 特斯拉又被曝出安全隐患?? 这次出问题的是"无钥匙进入系统". 一位网安人员发现,通过中继攻击,只需10秒就能解锁一辆Mode ...

  3. 全球4亿条用户电话号码曝光 Facebook再曝巨大安全漏洞

    9月5日据外媒消息报道,社交大佬平台Facebook存在严重的安全漏洞,一个存储了数以亿条与Facebook帐户关联的电话号码数据库在网上泄露,每条记录都包含一个用户的Facebook ID和连接到他 ...

  4. 马云:蚂蚁最应该感谢微信;FB再曝丑闻:扎克伯格将用户数据作为筹码打击对手;滴滴调整顺风车试运营规则 | EA周报...

    EA周报 2019年11月8日 每个星期7分钟,元宝带你喝一杯IT人的浓缩咖啡,了解天下事.掌握IT核心技术. 热点大事件 马云谈支付宝微信竞争:蚂蚁最应该感谢的就是微信 谈到支付宝与微信之间的竞争, ...

  5. 每日新闻丨Facebook再曝数据泄露事故;国内首台晶圆自动翻转倒片机成功研发...

    ▼ 趋势洞察 马云:实体经济是先进智造业加现代服务业 近日,马云参加世界楚商大会并表示,,实体经济是先进智造业加现代服务业,线上和线下经济不能对立,发展实体经济和金融发展不能对立,制造业和服务业不能对 ...

  6. 余额宝收益暴跌?再低也比银行定存5年高

    春节刚过,网上就出现不少介绍互联网理财产品收益暴跌的文章,但小编只想说,像余额宝和理财通这样牛逼冲天的理财产品,就算收益一夜回到解放前,也比银行定存高(后面详解)! 从除夕到现在,支付宝的余额宝和微信 ...

  7. 【阿里聚安全·安全周刊】Python库现后门 可窃取用户SSH信息|Facebook再曝300万用户数据泄露...

    本周七个关键词:Python库现后门丨Facebook再曝数据泄露丨加密协议被曝严重漏洞丨英国报摊将出售"色情通行证"丨HTTPS的绿色锁图标丨机器学习和预测应用的API丨Ecli ...

  8. 张文宏直播再曝金句:我宁可戴口罩开空调

    5月19日,张文宏医生在阿里健康"名医频道"的直播吸引了超过100w人次的观看互动.张医生针对新冠肺炎疫情防控.民众防护等问题再曝出不少金句. 天气越来越热,到底能不能开空调?张文 ...

  9. 苹果 macOS 再曝漏洞,输任意密码可进入 App Store 首选项

    点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 据外媒 MacRumors 今日报道,苹果当前版本的 macOS High Sierra 再 ...

最新文章

  1. 记一次数据库崩溃的恢复
  2. torch 列最大值
  3. 监控软件nagios之安装
  4. Flink安装及使用
  5. 军事医学研究院应晓敏组招聘博士后
  6. curl -s http://192.168.232.191/openapi/v2 | jq 不显示JSON格式的文档说明
  7. 【转】vb获得网络时间的函数
  8. 北京工商大学c语言复试试题,2016年北京工商大学计算机与信息工程学院C语言程序设计复试笔试仿真模拟题...
  9. IntelliJ IDEA 背景色以及字体设置
  10. ads出现村田电容电感无法仿真的问题解决(`BJT1' is an instance of an undefined model `BJTM1')...
  11. python xlrd使用_python:利用xlrd模块操作excel
  12. Luogu5889 跳树
  13. caj转word怎么进行转换
  14. 5000字 大数据时代读书笔记_《大数据时代》读后感 读书笔记
  15. 固态硬盘与机械硬盘的区别
  16. JavaScript高级程序设计读书笔记(第6章面向对象的程序设计之创建对象)
  17. 【笔记】笔记本查看电池损耗,一句命令搞定!(附笔记本电池使用技巧)
  18. 重谈联想5G编码投票事件
  19. Stochastic Approximation
  20. 提升网站关键词的排名

热门文章

  1. Tsinsen-A1491 家族【并查集】
  2. P1427 小鱼的数字游戏(洛谷)
  3. ResumUP:指导你走向500强的简历应用 不用不行!
  4. 月份加日期前面用on还是in_英语在日期之前加in 还是on 如何区分?
  5. 牛半仙的妹子Tree(Nowcoder)
  6. 避免网站内容被人盗连
  7. Android中LauncherActivity、PreferenceActivity、ExpandableListActivity的综合运用
  8. 如何看一台电脑的性能(针对小白)
  9. H - Lift Hopping UVA - 10801
  10. Mysql入门笔记(1): python——SQL基本使用