评论:支付宝的这个高危漏洞 暴露了它强行社交的隐患

2017-01-11 04:05:25 来源:济宁新闻网

马云在美国会见川普的画面传回国内的同时,支付宝却用一个漏洞抢夺了各大科技媒体的头条。

1月10日上午,不少网友及自媒体爆料称,熟知你支付宝个人信息的朋友可以通过找回密码功能登录你的支付宝并修改登录密码。当时,许多人都认为这可能又是某种不怀好意的谣传,毕竟像支付宝这样一个关系几亿用户财产安全的应用,哪能说出漏洞就出漏洞,但随着曝光的截图越来越多以及官方作出正式回应时,大家才发现这原来竟然是真的。

准确的说是在今天上午10点以前,这个漏洞是真实存在的。大致的破解方式如下,在登录界面点击忘记密码,然后在重置登录密码界面选择无法接收短信,然后只需通过选对一些个人信息,包括从九个图中选出你的好友、选出你近期购买的物品、选出一个与你有关的地址等,即可重置登录密码。

这意味着,如果你是账号主人的朋友,并对他的信息有所了解的话,就可能重置其登陆密码。从网络上的反馈来看,确实有部分人通过这种方式成功修改了朋友的支付宝登陆密码,并且顺利登入了相应账号。

于是大家纷纷感叹,没想到支付宝用这种方式,让人人都体验到了当黑客的感觉。

登陆密码被修改自然会危及到用户的财产安全,因为有些账号为了方便开通了小额免密支付,对于像点外卖、打车等小额支付不需要输入支付密码,另外有些用户也开通了当面扫码支付无需密码功能。因此在被修改了登陆密码之后,即使不用知道支付密码,也可以使用该账号消费。

更让人恐惧的是,即便是陌生人也可以在任何一台设备上,利用一个陌生手机号码,并可能碰巧成功选中购买的商品和朋友,进而破解该手机号码对应的支付宝账号。如果被陌生人修改了登陆密码,除了能免密消费之外,还可能通过此账号信息,对支付宝好友实行诈骗。

总之,这属于一个高危漏洞。

在网络的一遍哗然之中,支付宝仍保持了一惯泰然姿态,并在早上11点50分左右发布了对于安全问题回复策略调整通知,声称是进一步提高了风控系统的安全等级,目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

支付宝的回应也间接承认了该漏洞确实真实存在。

之后,锋观点仍试图采用同样的方式进行修改密码,但发现仅在自己手机上点击忘记密码,系统才能检测跳出近期购买的商品及好友。而如果在其他设备上点击忘记密码,首先系统会自动发送验证码短信到相应手机号,然后再跳转到一个安全检测页面,这个过程应当是风控系统在对设备的安全性作出检查,一旦查出不是机主本人的手机便会跳转到身份证号验证、回答安全保护问题、刷脸验证(需眨眼才能验证,所以静态照片无法通过验证)、验证本人银行卡信息等验证方式的页面。

锋观点在经过几轮测试后,仍没能登陆任何一个联系人的支付宝帐号,反而支付宝还发了一堆验证短信到联系人的手机上。这说明支付宝确实已经堵上了这个漏洞。

那么,导致支付宝出现该漏洞的原因有哪些?

最直接的原因是在风控系统的评估上,支付宝系统并没有对设备进行检测,或是直接绕过了常用设备验证机制,让所有的设备在点击忘记密码后都直接跳转到了验证购买商品和好友的页面,这显然是不符合安全规范的。而合理的做法是,每次登陆时应用都应识别出登陆的是常用设备、新设备还是偶尔登录的设备,并且根据每次登陆情况的不同,给出不同的验证方式。

而另一个潜在的原因在于支付宝强行打造的社交体系。从最初加入朋友功能,再到前段时间的校园日记、白领日记,支付宝为了做社交算是费尽了心力。而这次竟然还在忘记密码的验证过程中又植入社交元素,这让人觉得社交似乎已经在支付宝体内无孔不入。

从产品思维角度来看,通过让用户点击自己的好友来验证,这一方式其实并没有多大的问题,反而还能加强用户对于支付宝的社交概念,这其实透出了支付宝产品经理的一丝丝小聪明。然而,他没有考虑到的是,这种方式竟然能够被熟人利用,从而引发出了巨大的安全漏洞。

支付宝无法做大社交,根本原因在于它自带的财产属性与社交的开放性在本质上完全相悖,支付交易中最重要的事情是安全和隐私,而社交的加入则让这种隐私更加扩大化。比如前几天,支付宝推出了 2016 年年度账单功能,许多隐性的土豪都晒出了几十、上百万的年度支付费用,但网友调侃得最多的是:终于知道该向谁借钱了。

财不外露是中华民族的传统观念,大家都不愿意将自己的财富与他人建立关系,而支付宝强行做社交正好违背了这一理念。

这个高危漏洞爆出之后,许多用户为了防止中招,都纷纷打开支付宝删除好友。看来支付宝之前费尽心思打造的社交基础,被这一个漏洞就瓦解了。

济宁IT新闻