運(yùn)營推廣

Website development

余額寶遭盜頻發(fā) 再曝支付寶安全漏洞

發(fā)布時間：2014-05-04 18:05:50

TAGS：

前不久，一則《余額寶被盜刷6萬多元支付寶讓失主“耐心等待”》的新聞引發(fā)了筆者的密切關(guān)注，不僅僅因為筆者也是余額寶的用戶，更重要的一點，這則事件可能折射出支付寶在安全上所存在的某些漏洞，如果這些漏洞確實存在，那么支付寶提升安全保障將刻不容緩，否則還會有更多用戶遭遇此類事件。

為了將支付寶的整個安全機(jī)制搞清楚，筆者花了幾天時間來研究，其中分為幾個部分，一個是研究支付寶相關(guān)的安全功能，以及它們是如何協(xié)同工作的；另一個是根據(jù)網(wǎng)上所公布的一些信息和案例來分析，核實相關(guān)問題，并找到問題的原因所在，通過這兩個部分相結(jié)合的方式，筆者發(fā)現(xiàn)支付寶還真有很多安全問題需要解決。

1.對手機(jī)過于“依賴”而產(chǎn)生安全隱患

網(wǎng)上所提到的支付寶有諸如小額免密碼支付、綁定銀行卡快捷支付等存在漏洞，這些功能確實有問題，但相關(guān)功能用戶也可以關(guān)閉，這個我們待會兒再談。這里先談?wù)労芏嘤脩魺o法改變，但確實很嚴(yán)重的一個問題，就是支付寶對手機(jī)過于“依賴”而產(chǎn)生安全隱患。

對一般用戶而言，涉及支付寶安全的關(guān)鍵詞有如下幾個：用戶名、登錄密碼、支付密碼、數(shù)字證書。只要在上述幾個條件滿足的情況下，用戶就能完成支付。對不法分子而言，他們?nèi)绻I取用戶的支付寶賬戶，則必須解決上述幾個問題，別以為這幾個問題很困難，只要用戶的手機(jī)被植入木馬，或者手機(jī)卡被復(fù)制，不法分子就極有可能盜取用戶的支付寶賬戶。

用戶名相對容易獲取，而登錄密碼、支付密碼，也都可以根據(jù)短信驗證進(jìn)行修改，注銷和安裝數(shù)字證書也同樣如此。一種情況是，用戶的手機(jī)被植入木馬，黑客在操作過程中，通過木馬攔截用戶短信，獲取驗證碼，而用戶全然不知；還有一種情況是直接復(fù)制用戶的手機(jī)卡，如下圖所示。

換言之，只要手機(jī)被控制，或者手機(jī)卡被復(fù)制，不法分子就有可能進(jìn)行某些設(shè)置，比如修改密碼、開通無線支付、開通余額支付等等，通過這些手段盜竊用戶的錢。當(dāng)然，一般不法分子還會掌握用戶的身份信息，因為在支付寶的某些服務(wù)中，需要輸入身份證驗證，但有的卻不需要?？傊?，對手機(jī)過于“依賴”必然會產(chǎn)生極大的安全隱患。

2.手機(jī)號綁定的相關(guān)問題

上面提到的問題是不更改用戶綁定到支付寶的手機(jī)號可能會產(chǎn)生的風(fēng)險，還有另外一種情況，則是修改手機(jī)號綁定，也就是說，將原來的手機(jī)號解綁，不法分子將自己的手機(jī)號綁定上去。筆者對這個方面進(jìn)行了一定的研究，發(fā)現(xiàn)其實不法分子要修改手機(jī)號綁定，還是比較麻煩的。

由于筆者是使用郵箱來注冊支付寶賬號，筆者嘗試修改手機(jī)號綁定時，系統(tǒng)提示必須根據(jù)人工審核來完成修改，其中有以下幾個步驟，首先是支付寶會往郵箱發(fā)送一份確認(rèn)鏈接，然后用戶點擊之后，會進(jìn)入一個“自助服務(wù)”頁面，接下來有幾個步驟，如下圖所示。應(yīng)該說整個確認(rèn)過程還是相對完善，如果用戶的信息沒有泄露，基本上不法分子想修改綁定手機(jī)號還是蠻困難的。不過這一系統(tǒng)仍有漏洞，筆者在不登陸支付寶的情況下，仍然可以訪問支付寶所發(fā)送的確認(rèn)鏈接，而且似乎不存在有效期問題，即便是三天五天之后訪問該鏈接仍然有效，這很令人納悶兒。

093328z3frk98ew3zi9oen

而對于手機(jī)注冊用戶，問題卻要簡單一些，因為不含郵箱，系統(tǒng)會提示輸入郵箱，接下來，系統(tǒng)會往郵箱發(fā)送申請表，整個過程和上面的第3步相同。

1 2 下一頁

原創(chuàng)不易，未經(jīng)授權(quán)，嚴(yán)禁轉(zhuǎn)載

原文地址：http://www.mpian.cn/web/extension/2014-05-04/4135.html

上一篇：熊貓燒香病毒制造者開設(shè)網(wǎng)絡(luò)賭場案已宣判

下一篇：阿里進(jìn)軍手游：只做分發(fā)平臺不研發(fā)

您還有可能感興趣的內(nèi)容

建站流程

Website development

網(wǎng)站需
求分析
網(wǎng)站策
劃方案
頁面風(fēng)
格設(shè)計
程序設(shè)
計研發(fā)
資料錄
入優(yōu)化
確認(rèn)交
付使用
后續(xù)跟
蹤服務(wù)
+86 10 64758810
18510861135

熱門標(biāo)簽

Website development

客戶評價

更多+

感謝云智互聯(lián)，系統(tǒng)提前完成，在整個項目周期內(nèi)，云智互聯(lián)對待我們并不像是對待客戶，更像是朋友一樣，每一次，都能以專業(yè)的角度向我們提出更合理、更有效的解決方案，并快速、細(xì)致地完成我們的每一個需求，再次感謝以至誠之心做事的云智互聯(lián)團(tuán)隊。

潘濤
我是東方龍馬集團(tuán)，在云智家做了2個企業(yè)官網(wǎng)，服務(wù)態(tài)度超級好。如果想做網(wǎng)站，選擇他家一定不后悔。性價比高，服務(wù)態(tài)度好。值得你的信賴！

譚嬌
技術(shù)好，設(shè)計精良，操作便利，很專業(yè)！配套的服務(wù)和后續(xù)的服務(wù)都很好,網(wǎng)站封面堪稱精品，運(yùn)行方便，后臺操作的簡單。技術(shù)還會耐心教我,很好的云智互聯(lián)（北京）科技有限公司，建站很不錯的。

陳曦
不錯，價格比較合適，重點是響應(yīng)速度蠻快，有什么問題都會馬上給你解決，公司很滿意，因為他們都是針對每個項目建了相應(yīng)的討論組，有問題可以再里面提出，人員分工到位，解決問題很及時。

張經(jīng)理