教育

1对过于依赖而产生安全隐患2019iyiou

2019-05-14 18:21:53来源:励志吧0次阅读

导读:本文作者对支付宝的安全机制进行了比较透彻研究,而且还结合了上信息和案例进行分析。希望借此文给各位亲们敲响警钟,注意上支付的安全性。

前不久,一则《余额宝被盗刷6万多元支付宝让失主耐心等待》的引发了笔者的密切关注,不仅仅因为笔者也是余额宝的用户,更重要的一点,这则事件可能折射出支付宝在安全上所存在的某些漏洞,如果这些漏洞确实存在,那么支付宝提升安全保障将刻不容缓,否则还会有更多用户遭遇此类事件。

为了将支付宝的整个安全机制搞清楚,笔者花了几天时间来研究,其中分为几个部分,一个是研究支付宝相关的安全功能,以及它们是如何协同工作的;另一个是根据上所公布的一些信息和案例来分析,核实相关问题,并找到问题的原因所在,通过这两个部分相结合的方式,笔者发现支付宝还真有很多安全问题需要解决。

1.对过于依赖而产生安全隐患

上所提到的支付宝有诸如小额免密码支付、绑定银行卡快捷支付等存在漏洞,这些功能确实有问题,但相关功能用户也可以关闭,这个我们待会儿再谈。这里先谈谈很多用户无法改变,但确实很严重的一个问题,就是支付宝对过于依赖而产生安全隐患。

对一般用户而言,涉及支付宝安全的关键词有如下几个:用户名、登录密码、支付密码、数字证书。只要在上述几个条件满足的情况下,用户就能完成支付。对不法分子而言,他们如果要盗取用户的支付宝账户,则必须解决上述几个问题,别以为这几个问题很困难,只要用户的被植入木马,或者卡被复制,不法分子就极有可能盗取用户的支付宝账户。

用户名相对容易获取,而登录密码、支付密码,也都可以根据短信验证进行修改,注销和安装数字证书也同样如此。一种情况是,用户的被植入木马,黑客在操作过程中,通过木马拦截用户短信,获取验证码,而用户全然不知;还有一种情况是直接复制用户的卡,如下图所示。

换言之,只要被控制,或者卡被复制,不法分子就有可能进行某些设置,比如修改密码、开通无线支付、开通余额支付等等,通过这些手段盗窃用户的钱。当然,一般不法分子还会掌握用户的身份信息,因为在支付宝的某些服务中,需要输入身份证验证,但有的却不需要。总之,对过于依赖必然会产生极大的安全隐患。

2.号绑定的相关问题

上面提到的问题是不更改用户绑定到支付宝的号可能会产生的风险,还有另外一种情况,则是修改号绑定,也就是说,将原来的号解绑,不法分子将自己的号绑定上去。笔者对这个方面进行了一定的研究,发现其实不法分子要修改号绑定,还是比较麻烦的。

由于笔者是使用邮箱来注册支付宝账号,笔者尝试修改号绑定时,系统提示必须根据人工审核来完成修改,其中有以下几个步骤,首先是支付宝会往邮箱发送一份确认链接,然后用户点击之后,会进入一个自助服务页面,接下来有几个步骤,如下图所示。应该说整个确认过程还是相对完善,如果用户的信息没有泄露,基本上不法分子想修改绑定号还是蛮困难的。不过这一系统仍有漏洞,笔者在不登陆支付宝的情况下,仍然可以访问支付宝所发送的确认链接,而且似乎不存在有效期问题,即便是三天五天之后访问该链接仍然有效,这很令人纳闷儿。

而对于注册用户,问题却要简单一些,因为不含邮箱,系统会提示输入邮箱,接下来,系统会往邮箱发送申请表,整个过程和上面的第3步相同。可以看出,注册用户安全性应该不如邮箱用户,不过,注册用户仍然可以添加邮箱账号予以完善。

因此,我们不太建议用户使用号来注册支付宝,如果使用邮箱注册支付宝,我们也不建议大家开通登陆功能。

3.钱包的安全隐患

再来说支付宝钱包的安全隐患,笔者初使用支付宝钱包时,发现某些时候居然不用输入支付密码就能转账,这就是小额免密码支付功能,虽然方便,但确实很不安全。尤其是,已经有用户在IOS系统上测试,先关闭络再登陆支付宝,5次划错密码手势,后台关闭支付宝软件,再次打开就可以设置新的手势,连上后就能进入软件。若该账户设定了小额免密支付就可能存在被盗刷的风险!

当然,钱包的问题还不止于此,笔者之前开通了每月6毛的短信校验服务,开通该功能以后,每笔转账无论大小都必须通过短信进行验证,该功能在PC上使用并无问题,但在上却无法使用。也就是说,支付宝并未对钱包同步覆盖该功能。

这也是一大问题,众所周知,支付宝对PC端转账进行收费,其目的就是为了推广移动端,但相比之下,移动端的支付宝钱包在功能、安全性方面仍处于初期阶段,未来支付宝必须加快步伐,对移动端进行完善。当然,对于使用支付盾的用户,我们建议关闭无线支付,否则安全隐患仍可能存在。

除开这些问题以外,用户在使用支付宝钱包时,仍要特别注意定期对查杀病毒木马,不能随便访问未知站,也不能随便扫描二维码,因为这都可能导致用户中病毒。

中木马导致支付宝钱被盗

还有一种情况,就是PC中木马,导致支付宝钱被盗,黑客利用木马远程控制用户的电脑,同时他们也可能早已经掌握用户的登陆密码和支付密码,这时候,他们就可以直接在用户电脑上进行操作。当然,如果用户设置了短信验证等功能,在未中病毒或者号未泄露的情况下,仅仅有这些步骤将无法完成资金盗窃,不过这种情况仍不得不防。

当然,对大家熟悉的像小额免密码支付功能、快捷支付功能我们就不再赘述,上已经讲了很多了,希望大家关闭这些功能,确保自己账户安全。

图片来源:络

张进
智慧社区实现落地还需解决这四个问题
运动产业与科技结合开启体育科技新世代
分享到: