前不久,一则《余额宝被盗刷6万多元支付宝让失主“耐心等待”》的新闻引发了笔者的密切关注,不仅仅因为笔者也是余额宝的用户,更重要的一点,这则事件可能折射出支付宝在安全上所存在的某些漏洞,如果这些漏洞确实存在,那么支付宝提升安全保障将刻不容缓,否则还会有更多用户遭遇此类事件。
为了将支付宝的整个安全机制搞清楚,笔者花了几天时间来研究,其中分为几个部分,一个是研究支付宝相关的安全功能,以及它们是如何协同工作的;另一个是根据网上所公布的一些信息和案例来分析,核实相关问题,并找到问题的原因所在,通过这两个部分相结合的方式,笔者发现支付宝还真有很多安全问题需要解决。
1.对手机过于“依赖”而产生安全隐患
网上所提到的支付宝有诸如小额免密码支付、绑定银行卡快捷支付等存在漏洞,这些功能确实有问题,但相关功能用户也可以关闭,这个我们待会儿再谈。这里先谈谈很多用户无法改变,但确实很严重的一个问题,就是支付宝对手机过于“依赖”而产生安全隐患。
对一般用户而言,涉及支付宝安全的关键词有如下几个:用户名、登录密码、支付密码、数字证书。只要在上述几个条件满足的情况下,用户就能完成支付。对不法分子而言,他们如果要盗取用户的支付宝账户,则必须解决上述几个问题,别以为这几个问题很困难,只要用户的手机被植入木马,或者手机卡被复制,不法分子就极有可能盗取用户的支付宝账户。
用户名相对容易获取,而登录密码、支付密码,也都可以根据短信验证进行修改,注销和安装数字证书也同样如此。一种情况是,用户的手机被植入木马,黑客在操作过程中,通过木马拦截用户短信,获取验证码,而用户全然不知;还有一种情况是直接复制用户的手机卡,如下图所示。
换言之,只要手机被控制,或者手机卡被复制,不法分子就有可能进行某些设置,比如修改密码、开通无线支付、开通余额支付等等,通过这些手段盗窃用户的钱。当然,一般不法分子还会掌握用户的身份信息,因为在支付宝的某些服务中,需要输入身份证验证,但有的却不需要。总之,对手机过于“依赖”必然会产生极大的安全隐患。
2.手机号绑定的相关问题
上面提到的问题是不更改用户绑定到支付宝的手机号可能会产生的风险,还有另外一种情况,则是修改手机号绑定,也就是说,将原来的手机号解绑,不法分子将自己的手机号绑定上去。笔者对这个方面进行了一定的研究,发现其实不法分子要修改手机号绑定,还是比较麻烦的。
由于笔者是使用邮箱来注册支付宝账号,笔者尝试修改手机号绑定时,系统提示必须根据人工审核来完成修改,其中有以下几个步骤,首先是支付宝会往邮箱发送一份确认链接,然后用户点击之后,会进入一个“自助服务”页面,接下来有几个步骤,如下图所示。应该说整个确认过程还是相对完善,如果用户的信息没有泄露,基本上不法分子想修改绑定手机号还是蛮困难的。不过这一系统仍有漏洞,笔者在不登陆支付宝的情况下,仍然可以访问支付宝所发送的确认链接,而且似乎不存在有效期问题,即便是三天五天之后访问该链接仍然有效,这很令人纳闷儿。
而对于手机注册用户,问题却要简单一些,因为不含邮箱,系统会提示输入邮箱,接下来,系统会往邮箱发送申请表,整个过程和上面的第3步相同。可以看出,手机注册用户安全性应该不如邮箱用户,不过,手机注册用户仍然可以添加邮箱账号予以完善。
因此,我们不太建议用户使用手机号来注册支付宝,如果使用邮箱注册支付宝,我们也不建议大家开通手机登陆功能。
3.手机钱包的安全隐患
再来说支付宝手机钱包的安全隐患,笔者最初使用支付宝手机钱包时,发现某些时候居然不用输入支付密码就能转账,这就是小额免密码支付功能,虽然方便,但确实很不安全。尤其是,已经有用户在IOS系统上测试,先关闭网络再登陆手机支付宝,5次划错密码手势,后台关闭支付宝软件,再次打开就可以设置新的手势,连上网后就能进入软件。若该账户设定了小额免密支付就可能存在被盗刷的风险!
当然,手机钱包的问题还不止于此,笔者之前开通了每月6毛的短信校验服务,开通该功能以后,每笔转账无论大小都必须通过短信进行验证,该功能在PC上使用并无问题,但在手机上却无法使用。也就是说,支付宝并未对手机钱包同步覆盖该功能。
这也是一大问题,众所周知,支付宝对PC端转账进行收费,其目的就是为了推广移动端,但相比之下,移动端的支付宝钱包在功能、安全性方面仍处于初期阶段,未来支付宝必须加快步伐,对移动端进行完善。当然,对于使用支付盾的用户,我们建议关闭无线支付,否则安全隐患仍可能存在。
除开这些问题以外,用户在使用支付宝手机钱包时,仍要特别注意定期对手机查杀病毒木马,不能随便访问未知网站,也不能随便扫描二维码,因为这都可能导致用户手机中病毒。
4.PC中木马导致支付宝钱被盗
还有一种情况,就是PC中木马,导致支付宝钱被盗,黑客利用木马远程控制用户的电脑,同时他们也可能早已经掌握用户的登陆密码和支付密码,这时候,他们就可以直接在用户电脑上进行操作。当然,如果用户设置了短信验证等功能,在手机未中病毒或者手机号未泄露的情况下,仅仅有这些步骤将无法完成资金盗窃,不过这种情况仍不得不防。
当然,对大家熟悉的像小额免密码支付功能、快捷支付功能我们就不再赘述,网上已经讲了很多了,希望大家关闭这些功能,确保自己账户安全。