程序员之家 服务器常用软件
快捷导航
您的位置:主页 > 软件教程 > 手机软件 >

支付宝现重大漏洞篡改密码:亲测难度不小

  发布时间:2017-01-11 09:48:29   作者:佚名   我要评论
支付宝漏洞?编辑随即打开朋友圈,发现已经有很多网络安全圈内的朋友都转了一条名为支付宝惊现致命漏洞,快解绑你的银行卡的报道,只要成功答对这两道问题,就可以重置该支付宝账号的密码,并且在登录后可正常使用免支付密码的快捷支付功能,直接使用对方支付宝中的资金
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud

(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun

就在今早,编辑在上班路上忽然收到了一条支付宝验证码的短信,察觉到异常后立刻打开了支付宝客户端,结果被吓出了冷汗:

支付宝钱包Android客户端 v9.9.2.090801 安卓免费版

  • 类型:生活服务
  • 大小:46.7MB
  • 语言:简体中文
  • 时间:2016-09-10
查看详情

他发现自己的支付宝账号竟正被别人登录,随即他收到一条朋友发来的微信消息:

我刚才用网上流传的“支付宝致命漏洞”来重置你的登录密码,竟然成功了!你还不知道吗?朋友圈都传开啦!

支付宝漏洞?编辑随即打开朋友圈,发现已经有很多网络安全圈内的朋友都转了一条名为“支付宝惊现致命漏洞,快解绑你的银行卡”的报道。

报道中称,有网友发现支付宝在登录方式上存在致命的逻辑漏洞,导致熟人之间可以相互登录对方的支付宝账号,流程大致如下:

进入「忘记密码」界面后,选择「无法接受短信」,这时候会出现两个相关问题:一、在9张图片当中找出你认识的人 ;二、选择与您有关的地址。

只要成功答对这两道问题,就可以重置该支付宝账号的密码,并且在登录后可以正常使用免支付密码的快捷支付功能,直接使用对方支付宝中的资金。

很快,随着该消息在朋友圈内的传播,越来越多的人表示自己收到支付宝登录验证短信,以及相关的账号异常提醒。许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。

有人表示,周围已经有不下十人成功登录了身边朋友的支付宝账号,甚至有网络安全高手也中招了,由此他判断此次问题可能非常严重。

真实成功率如何?

编辑在对周围朋友的支付宝账号进行了大约7~8 次尝试后,成功重置了自己女朋友的支付宝密码,这是在双方十分了解,知道对方认识的人、购物记录和家庭住址等情况的前提下实现的。虽然结果确实令人惊讶,但成功率并没有网上说的那么夸张——“陌生人有五分之一的机会登录你支付宝,熟人有百分之百的机会登录你的支付宝”。

在测试中我们发现,两个测试题会随机出现“你认识的人”、“和你相关的地址”、“你曾经买过的东西”等不同的问题,只要答错一两次,该种方式就会被屏蔽,只允许使用其他方式找回密码,并且其他的方式也会在尝试失败后逐渐被屏蔽,这似乎触发了支付宝的某种安全机制。

【验证失败后验证方式会发生变化】

在多次试验后,编辑发现自己无论使用谁的支付宝账号,都无法再使用之前那种通过相关信息来重置密码的方式。

至上午10点左右,周围不少在测试该漏洞的朋友也表示自己测试失败,只有在自己的常用设备下才能触发相关消息找回。有安全从业者表示:“支付宝响应很快,据说目前已经对风控进行了调整。”

支付宝官方回应

至上午11点50分左右,支付宝官方微博发出声明,对此次事件进行了公告,全文如下:

虽然目前蚂蚁金服方面尚未给出具体的风控手段解析,但据了解,支付宝风控和阿里聚安全应用了同一套技术基础,据此,可以判断支付宝也应用了以下风控手段:

风险信息库

对于支付宝的所有的验证登录数据,都会被收录到风险信息库中。每一个风险用户和背后的手机、邮箱、IP地址、身份证号都会被记录在案。

设备指纹

对于每一台登录支付宝的设备,风控措施都会为了给设备定义一个独特的指纹,系统会收集多维度的信息,例如:

— App的基本信息。其中包括 App 的名称、版本等,也包括集成 SDK 的版本信息。

—设备信息。包括设备的名称、型号、系统、IMEI号、MAC地址。(iOS 设备只能获取部分信息)

—网络信息。wifi、4G等参数。

—公开的接口信息。例如软件ID、开发者ID。

通过以上信息综合算出设备的“指纹ID”。这个 ID 相当于设备的身份证。当硬件发生变动时,只要改动的部件低于一定比例,仍会被认定为是同一台设备。

根据支付宝的公告,目前已调整风控等级,支付宝的风控措施会在背后判断根据以上的设备指纹来判断是否是用户的常用设备,用户仅仅在自己的设备上才能使用相关信息才能使用“相关信息验证”的方式来登录。

因此,现在已经不必再着急解绑自己的银行卡了,更重要的应该是,看好自己的手机!

相关阅读:

支付宝怎么防止密码被熟人找回 支付宝防止密码被他人找回的解决办法

支付宝无法实名认证怎么办 支付宝实名认证被占用解决方法

支付宝怎么绑定网商银行 支付宝绑定网商银行方法教程

相关文章

  • 支付宝使用蚂蚁宝卡线下买单送流量翻5倍

    支付宝之前推出了蚂蚁宝卡,分为大宝卡和小宝卡,之前使用蚂蚁宝卡线下购买东西每月送200mb流量,现在竟然翻5倍,每月可以送1000mb流量,详细内容请看下文,需要的朋友可以
    2017-01-17

  • 2017支付宝怎么获得五福红包 2017支付宝五福红包最全集齐攻略

    支付宝今年延续以往集五福的活动,用户只需要集齐五福就有机会获得相应的红包奖励。怎么集齐五福呢,就让小编给大家详细详细的攻略吧
    2017-01-17

  • 支付宝app钉钉福卡红包怎么领取兑换?

    支付宝app钉钉福卡红包怎么领取兑换?支付宝app中新增了一个钉钉福卡,该怎么使用钉钉福卡兑换红包呢?下面我们就来看看详细的教程,需要的朋友可以参考下
    2017-01-16

  • 支付宝app集五福玩法曝光 新增钉钉福卡

    支付宝app集五福出现了新玩法,新增了一个钉钉福卡,抽到这张福卡的朋友可以通过阿里钉钉每天获得“88元钉钉红包”,下面我们就来看看详细的教程,需要的朋友可以参考下
    2017-01-16

  • 支付宝顺手牵羊卡的使用方法

    支付宝新增加了一个“顺手牵羊卡”活动;支付宝顺手牵羊卡怎么获得呢,下面小编带领大家一起去看看支付宝顺手牵羊卡的使用方法;感兴趣的朋友一起去看看吧
    2017-01-16

  • 支付宝怎么玩集五福?手机支付宝获得福卡两种方式

    据介绍,从1月18日开始,支付宝用户可以通过“AR扫‘福’字”、“参与蚂蚁森林”两种方式获得福卡。下面为大家详细介绍一下,不会的朋友可以参考本文,来看看吧
    2017-01-13

  • 2017年支付宝五福红包玩法变更 红包随机发最高666元

    去年支付宝五福红包很少有人能集齐,主要是因为敬业福惨案造成的,现在集齐五福红包,用户可以通过AR扫福字、参与蚂蚁森林两种方式获得福卡,红包金额也不是评分,而是随机
    2017-01-13

  • 支付宝暗号怎么设置 支付宝暗号设置方法

    支付宝暗号怎么设置?支付宝暗号是支付宝最新推出的新功能,主要是用户使用起来更加的安全,不少小伙伴一定想知道支付宝暗号在哪设置?支付宝暗号怎么用?就让小编给大家详
    2017-01-13

  • 支付宝怎么查看银行卡的消费记录?

    支付宝怎么查看银行卡的消费记录?想知道自己的银行卡交易记录,该怎么查询呢?我们可以使用支付宝查询,下面我们就来看看详细的教程,需要的朋友可以参考下
    2017-01-12

  • 支付宝安逸花怎么申请?支付宝安逸花申请开通图文教程

    安逸花正式在支付宝上线了,需要急速贷款借钱的小伙伴可以去支付宝贷款了,最高额度可达5万元。其支付宝信用分要求达到620分即可,对于有小额贷款需求的朋友来说,无疑是好
    2017-01-12

最新评论

关注微信公众号

扫一扫
?


http://www.vxiaotou.com