支付宝惊现重大漏洞 任意文件下载漏洞修复 手机支付宝惊曝3大安全漏洞 可轻易修改任意用户密码

在网络购物已经成为生活一部分的今天,在手机里装个支付宝钱包,出门买东西扫二维码支付已经是家常便饭了。然而就在近日,当你听话地按提示更新了你的支付宝为“支付宝9.0”(以下简称9.0),突然发现有些奇怪的东西混进去了……

众所周知,在支付宝新升级的9.0版本中取消了用户手势密码的设置,转变为“大数据风控”保护。如果用户手机不具备指纹解锁功能,那么在其手机上支付宝账户可以直接被访问。

这个修改遭到了不少网友的吐槽和质疑,很多人担心会因此泄露自己的淘宝购买记录和日常生活消费记录,同时还有人担心这样会增加熟人作案的风险,一旦有人拿到了你的手机,通过小额支付功能便可以转走或者消费一部分钱。

当然支付宝也有自己的说法,支付宝称自己通过多年积攒的大数据来通过用户行为分析进行身份认证,当不是本人在使用时,支付宝可以通过细小的行为习惯上的区别来判断。

然而这个宣称“甚至每一次敲击屏幕都是安全考验”的安全体系貌似并没有那么神。在昨天中午,FreeBuf创始人pnig0s在微博吐槽,支付宝9.0的重置密码功能存在逻辑问题,只需要知道用户身份证号便可以重置其登录密码,并且称朋友圈里一票人的密码都被重置了。

小编立刻进行了验证,小编选择了一个关系较好的大学同学的支付宝,在登录界面点击“登录遇到问题”,输入其支付宝账号

这时系统会显示已经将校验码发送到手机上,我们点击下面的“无法接收短信”,然后弹出来了一个网页,让小编选择哪几个是认识的朋友,看到这里小编真的笑出来了,这安全做的脑洞确实有点大,如果和那人比较熟悉应该都可以轻松选出来。

不过虽然我和他是大学同学,但是还是有一个人不知道如何选择,小编尝试了三次之后都失败了。但是令我更惊讶的事情出现了,支付宝直接提示“请输入身份证号完成验证”。

小编无语了3分钟,只需要知道身份证号便可以修改其支付宝密码?想到之前给他买过火车票,小编登录12306查到了这位同学的身份证号,然后便顺利的修改了这位同学的支付宝登录密码。

小编通过支付宝顺利的看到了他的历史交易记录、聊天记录。没有受到任何异地登录或者不是账户主人的限制,之前支付宝声称的“大数据风控”好像并没有起到什么卵用。

支付宝惊现重大漏洞 任意文件下载漏洞修复 手机支付宝惊曝3大安全漏洞 可轻易修改任意用户密码

•在淘宝上买的充气娃娃、情趣套套和振动棒,支付宝里是能直接看到交易记录的啊!!

•低调地往余额宝里藏100万人民币,分分钟被老婆、同事、舍友知道的啊!!

•打给小三的钱,分分钟被老婆看到的啊!!!

•给发廊小妹开通的亲密付,分分钟被女朋友看到的啊!!!

•给前女友手机充值,分分钟被现任发现的啊!!!

同时,小编通过提供的通过支付宝登录接口,顺利登录了这位同学的淘宝账户。

在几个小时后,支付宝修复了这个安全问题。不过小编还是对这个“大数据风控”抱有怀疑态度,他真的可以通过行为特征区分是不是本人吗?

于是小编又做了一个测试,把手机交给同部门的源姐,让她用小编的手机给自己转账,小编是一个人高马大的胖子,而源姐是一个萌萌的妹子,无论是手指的大小、按压力度、以及使用习惯都是完全不同的,然而源姐还是顺利的利用小额免密码支付从小编的账户里转走了钱。

既然不是本人也可以轻易转走账户资金,小编不禁对这套安全体系产生了怀疑,支付宝会不会在外界的压力下重新增加手势密码的功能呢?我们也只能观望了。


  

爱华网本文地址 » http://www.aihuau.com/a/315751/896535762542.html

更多阅读

支付宝漏洞赚钱详情介绍 京东低价漏洞赚钱

很偶然,看到了一个关于利用支付宝漏洞日赚200的视频,可行与否先不去说他,但是这个思路还是值得大家借鉴的,希望可以给大家一些启发。首先,可能您还不是很了解支付宝,先介绍一下。支付宝是一种网上购物的支付软件,已经得到了很广泛的应用,网

恋爱恐慌症演员表 支付宝恐慌症

  文/黄旭   支付宝的免费模式让多家银行输不起。由于支付宝的信用卡交易完全免费,其交易还存在不少假消费、真套现行为,目前,民生银行、兴业银行、浦发银行和深圳发展银行等,已经退出了支付宝信用卡交易,而招商银行、中信银行、光

支付宝套现信用卡 支付宝陷入“信用卡套现”风波

据了解,用信用卡取现金需要额外支付手续费和利息,而现在有些人为了省去这些手续费和利息,便通过使用支付宝网上虚假购物的方式,利用与支付宝挂钩的信用卡进行套现。这给银行的风险控制增加了难度。   报道称,利用支付宝进行信用卡套现

声明:《支付宝惊现重大漏洞 任意文件下载漏洞修复 手机支付宝惊曝3大安全漏洞 可轻易修改任意用户密码》为网友清风不还家分享!如侵犯到您的合法权益请联系我们删除