前不久,一則《余額寶被盜刷6萬多元支付寶讓失主“耐心等待”》的新聞引發(fā)了筆者的密切關(guān)注,不僅僅因為筆者也是余額寶的用戶,更重要的一點,這則事件可能折射出支付寶在安全上所存在的某些漏洞,如果這些漏洞確實存在,那么支付寶提升安全保障將刻不容緩,否則還會有更多用戶遭遇此類事件。
為了將支付寶的整個安全機制搞清楚,筆者花了幾天時間來研究,其中分為幾個部分,一個是研究支付寶相關(guān)的安全功能,以及它們是如何協(xié)同工作的;另一個是根據(jù)網(wǎng)上所公布的一些信息和案例來分析,核實相關(guān)問題,并找到問題的原因所在,通過這兩個部分相結(jié)合的方式,筆者發(fā)現(xiàn)支付寶還真有很多安全問題需要解決。
1.對手機過于“依賴”而產(chǎn)生安全隱患
網(wǎng)上所提到的支付寶有諸如小額免密碼支付、綁定銀行卡快捷支付等存在漏洞,這些功能確實有問題,但相關(guān)功能用戶也可以關(guān)閉,這個我們待會兒再談。這里先談?wù)労芏嘤脩魺o法改變,但確實很嚴(yán)重的一個問題,就是支付寶對手機過于“依賴”而產(chǎn)生安全隱患。
對一般用戶而言,涉及支付寶安全的關(guān)鍵詞有如下幾個:用戶名、登錄密碼、支付密碼、數(shù)字證書。只要在上述幾個條件滿足的情況下,用戶就能完成支付。對不法分子而言,他們?nèi)绻I取用戶的支付寶賬戶,則必須解決上述幾個問題,別以為這幾個問題很困難,只要用戶的手機被植入木馬,或者手機卡被復(fù)制,不法分子就極有可能盜取用戶的支付寶賬戶。
用戶名相對容易獲取,而登錄密碼、支付密碼,也都可以根據(jù)短信驗證進(jìn)行修改,注銷和安裝數(shù)字證書也同樣如此。一種情況是,用戶的手機被植入木馬,黑客在操作過程中,通過木馬攔截用戶短信,獲取驗證碼,而用戶全然不知;還有一種情況是直接復(fù)制用戶的手機卡,如下圖所示。
換言之,只要手機被控制,或者手機卡被復(fù)制,不法分子就有可能進(jìn)行某些設(shè)置,比如修改密碼、開通無線支付、開通余額支付等等,通過這些手段盜竊用戶的錢。當(dāng)然,一般不法分子還會掌握用戶的身份信息,因為在支付寶的某些服務(wù)中,需要輸入身份證驗證,但有的卻不需要。總之,對手機過于“依賴”必然會產(chǎn)生極大的安全隱患。
2.手機號綁定的相關(guān)問題
上面提到的問題是不更改用戶綁定到支付寶的手機號可能會產(chǎn)生的風(fēng)險,還有另外一種情況,則是修改手機號綁定,也就是說,將原來的手機號解綁,不法分子將自己的手機號綁定上去。筆者對這個方面進(jìn)行了一定的研究,發(fā)現(xiàn)其實不法分子要修改手機號綁定,還是比較麻煩的。
由于筆者是使用郵箱來注冊支付寶賬號,筆者嘗試修改手機號綁定時,系統(tǒng)提示必須根據(jù)人工審核來完成修改,其中有以下幾個步驟,首先是支付寶會往郵箱發(fā)送一份確認(rèn)鏈接,然后用戶點擊之后,會進(jìn)入一個“自助服務(wù)”頁面,接下來有幾個步驟,如下圖所示。應(yīng)該說整個確認(rèn)過程還是相對完善,如果用戶的信息沒有泄露,基本上不法分子想修改綁定手機號還是蠻困難的。不過這一系統(tǒng)仍有漏洞,筆者在不登陸支付寶的情況下,仍然可以訪問支付寶所發(fā)送的確認(rèn)鏈接,而且似乎不存在有效期問題,即便是三天五天之后訪問該鏈接仍然有效,這很令人納悶兒
而對于手機注冊用戶,問題卻要簡單一些,因為不含郵箱,系統(tǒng)會提示輸入郵箱,接下來,系統(tǒng)會往郵箱發(fā)送申請表,整個過程和上面的第3步相同。可以看出,手機注冊用戶安全性應(yīng)該不如郵箱用戶,不過,手機注冊用戶仍然可以添加郵箱賬號予以完善。
因此,我們不太建議用戶使用手機號來注冊支付寶,如果使用郵箱注冊支付寶,我們也不建議大家開通手機登陸功能。
3.手機錢包的安全隱患
再來說支付寶手機錢包的安全隱患,筆者最初使用支付寶手機錢包時,發(fā)現(xiàn)某些時候居然不用輸入支付密碼就能轉(zhuǎn)賬,這就是小額免密碼支付功能,雖然方便,但確實很不安全。尤其是,已經(jīng)有用戶在IOS系統(tǒng)上測試,先關(guān)閉網(wǎng)絡(luò)再登陸手機支付寶,5次劃錯密碼手勢,后臺關(guān)閉支付寶軟件,再次打開就可以設(shè)置新的手勢,連上網(wǎng)后就能進(jìn)入軟件。若該賬戶設(shè)定了小額免密支付就可能存在被盜刷的風(fēng)險!
當(dāng)然,手機錢包的問題還不止于此,筆者之前開通了每月6毛的短信校驗服務(wù),開通該功能以后,每筆轉(zhuǎn)賬無論大小都必須通過短信進(jìn)行驗證,該功能在PC上使用并無問題,但在手機上卻無法使用。也就是說,支付寶并未對手機錢包同步覆蓋該功能。
這也是一大問題,眾所周知,支付寶對PC端轉(zhuǎn)賬進(jìn)行收費,其目的就是為了推廣移動端,但相比之下,移動端的支付寶錢包在功能、安全性方面仍處于初期階段,未來支付寶必須加快步伐,對移動端進(jìn)行完善。當(dāng)然,對于使用支付盾的用戶,我們建議關(guān)閉無線支付,否則安全隱患仍可能存在。
除開這些問題以外,用戶在使用支付寶手機錢包時,仍要特別注意定期對手機查殺病毒木馬,不能隨便訪問未知網(wǎng)站,也不能隨便掃描二維碼,因為這都可能導(dǎo)致用戶手機中病毒。
4.PC中木馬導(dǎo)致支付寶錢被盜
還有一種情況,就是PC中木馬,導(dǎo)致支付寶錢被盜,黑客利用木馬遠(yuǎn)程控制用戶的電腦,同時他們也可能早已經(jīng)掌握用戶的登陸密碼和支付密碼,這時候,他們就可以直接在用戶電腦上進(jìn)行操作。當(dāng)然,如果用戶設(shè)置了短信驗證等功能,在手機未中病毒或者手機號未泄露的情況下,僅僅有這些步驟將無法完成資金盜竊,不過這種情況仍不得不防。
當(dāng)然,對大家熟悉的像小額免密碼支付功能、快捷支付功能我們就不再贅述,網(wǎng)上已經(jīng)講了很多了,希望大家關(guān)閉這些功能,確保自己賬戶安全。
京公網(wǎng)安備 11010502049343號