支付寶現(xiàn)重大漏洞篡改密碼:親測(cè)難度不小

就在今早,編輯在上班路上忽然收到了一條支付寶驗(yàn)證碼的短信,察覺(jué)到異常后立刻打開(kāi)了支付寶客戶(hù)端,結(jié)果被嚇出了冷汗:

支付寶手機(jī)客戶(hù)端(手機(jī)支付平臺(tái)) v10.6.80.8000 安卓免費(fèi)版
- 類(lèi)型:生活服務(wù)
- 大小:188MB
- 語(yǔ)言:簡(jiǎn)體中文
- 時(shí)間:2025-02-09
他發(fā)現(xiàn)自己的支付寶賬號(hào)竟正被別人登錄,隨即他收到一條朋友發(fā)來(lái)的微信消息:
我剛才用網(wǎng)上流傳的“支付寶致命漏洞”來(lái)重置你的登錄密碼,竟然成功了!你還不知道嗎?朋友圈都傳開(kāi)啦!
支付寶漏洞?編輯隨即打開(kāi)朋友圈,發(fā)現(xiàn)已經(jīng)有很多網(wǎng)絡(luò)安全圈內(nèi)的朋友都轉(zhuǎn)了一條名為“支付寶驚現(xiàn)致命漏洞,快解綁你的銀行卡”的報(bào)道。
報(bào)道中稱(chēng),有網(wǎng)友發(fā)現(xiàn)支付寶在登錄方式上存在致命的邏輯漏洞,導(dǎo)致熟人之間可以相互登錄對(duì)方的支付寶賬號(hào),流程大致如下:
進(jìn)入「忘記密碼」界面后,選擇「無(wú)法接受短信」,這時(shí)候會(huì)出現(xiàn)兩個(gè)相關(guān)問(wèn)題:一、在9張圖片當(dāng)中找出你認(rèn)識(shí)的人 ;二、選擇與您有關(guān)的地址。
只要成功答對(duì)這兩道問(wèn)題,就可以重置該支付寶賬號(hào)的密碼,并且在登錄后可以正常使用免支付密碼的快捷支付功能,直接使用對(duì)方支付寶中的資金。
很快,隨著該消息在朋友圈內(nèi)的傳播,越來(lái)越多的人表示自己收到支付寶登錄驗(yàn)證短信,以及相關(guān)的賬號(hào)異常提醒。許多人開(kāi)始用身邊朋友的支付寶賬號(hào)來(lái)嘗試復(fù)現(xiàn)該漏洞。
有人表示,周?chē)呀?jīng)有不下十人成功登錄了身邊朋友的支付寶賬號(hào),甚至有網(wǎng)絡(luò)安全高手也中招了,由此他判斷此次問(wèn)題可能非常嚴(yán)重。
真實(shí)成功率如何?
編輯在對(duì)周?chē)笥训闹Ц秾氋~號(hào)進(jìn)行了大約7~8 次嘗試后,成功重置了自己女朋友的支付寶密碼,這是在雙方十分了解,知道對(duì)方認(rèn)識(shí)的人、購(gòu)物記錄和家庭住址等情況的前提下實(shí)現(xiàn)的。雖然結(jié)果確實(shí)令人驚訝,但成功率并沒(méi)有網(wǎng)上說(shuō)的那么夸張——“陌生人有五分之一的機(jī)會(huì)登錄你支付寶,熟人有百分之百的機(jī)會(huì)登錄你的支付寶”。
在測(cè)試中我們發(fā)現(xiàn),兩個(gè)測(cè)試題會(huì)隨機(jī)出現(xiàn)“你認(rèn)識(shí)的人”、“和你相關(guān)的地址”、“你曾經(jīng)買(mǎi)過(guò)的東西”等不同的問(wèn)題,只要答錯(cuò)一兩次,該種方式就會(huì)被屏蔽,只允許使用其他方式找回密碼,并且其他的方式也會(huì)在嘗試失敗后逐漸被屏蔽,這似乎觸發(fā)了支付寶的某種安全機(jī)制。
【驗(yàn)證失敗后驗(yàn)證方式會(huì)發(fā)生變化】
在多次試驗(yàn)后,編輯發(fā)現(xiàn)自己無(wú)論使用誰(shuí)的支付寶賬號(hào),都無(wú)法再使用之前那種通過(guò)相關(guān)信息來(lái)重置密碼的方式。
至上午10點(diǎn)左右,周?chē)簧僭跍y(cè)試該漏洞的朋友也表示自己測(cè)試失敗,只有在自己的常用設(shè)備下才能觸發(fā)相關(guān)消息找回。有安全從業(yè)者表示:“支付寶響應(yīng)很快,據(jù)說(shuō)目前已經(jīng)對(duì)風(fēng)控進(jìn)行了調(diào)整。”
支付寶官方回應(yīng)
至上午11點(diǎn)50分左右,支付寶官方微博發(fā)出聲明,對(duì)此次事件進(jìn)行了公告,全文如下:
雖然目前螞蟻金服方面尚未給出具體的風(fēng)控手段解析,但據(jù)了解,支付寶風(fēng)控和阿里聚安全應(yīng)用了同一套技術(shù)基礎(chǔ),據(jù)此,可以判斷支付寶也應(yīng)用了以下風(fēng)控手段:
風(fēng)險(xiǎn)信息庫(kù)
對(duì)于支付寶的所有的驗(yàn)證登錄數(shù)據(jù),都會(huì)被收錄到風(fēng)險(xiǎn)信息庫(kù)中。每一個(gè)風(fēng)險(xiǎn)用戶(hù)和背后的手機(jī)、郵箱、IP地址、身份證號(hào)都會(huì)被記錄在案。
設(shè)備指紋
對(duì)于每一臺(tái)登錄支付寶的設(shè)備,風(fēng)控措施都會(huì)為了給設(shè)備定義一個(gè)獨(dú)特的指紋,系統(tǒng)會(huì)收集多維度的信息,例如:
— App的基本信息。其中包括 App 的名稱(chēng)、版本等,也包括集成 SDK 的版本信息。
—設(shè)備信息。包括設(shè)備的名稱(chēng)、型號(hào)、系統(tǒng)、IMEI號(hào)、MAC地址。(iOS 設(shè)備只能獲取部分信息)
—網(wǎng)絡(luò)信息。wifi、4G等參數(shù)。
—公開(kāi)的接口信息。例如軟件ID、開(kāi)發(fā)者ID。
通過(guò)以上信息綜合算出設(shè)備的“指紋ID”。這個(gè) ID 相當(dāng)于設(shè)備的身份證。當(dāng)硬件發(fā)生變動(dòng)時(shí),只要改動(dòng)的部件低于一定比例,仍會(huì)被認(rèn)定為是同一臺(tái)設(shè)備。
根據(jù)支付寶的公告,目前已調(diào)整風(fēng)控等級(jí),支付寶的風(fēng)控措施會(huì)在背后判斷根據(jù)以上的設(shè)備指紋來(lái)判斷是否是用戶(hù)的常用設(shè)備,用戶(hù)僅僅在自己的設(shè)備上才能使用相關(guān)信息才能使用“相關(guān)信息驗(yàn)證”的方式來(lái)登錄。
因此,現(xiàn)在已經(jīng)不必再著急解綁自己的銀行卡了,更重要的應(yīng)該是,看好自己的手機(jī)!
相關(guān)閱讀:
支付寶怎么防止密碼被熟人找回 支付寶防止密碼被他人找回的解決辦法
支付寶無(wú)法實(shí)名認(rèn)證怎么辦 支付寶實(shí)名認(rèn)證被占用解決方法
支付寶怎么綁定網(wǎng)商銀行 支付寶綁定網(wǎng)商銀行方法教程
相關(guān)文章
- 支付寶之前推出了螞蟻寶卡,分為大寶卡和小寶卡,之前使用螞蟻寶卡線下購(gòu)買(mǎi)東西每月送200mb流量,現(xiàn)在竟然翻5倍,每月可以送1000mb流量,詳細(xì)內(nèi)容請(qǐng)看下文,需要的朋友可以2017-01-17
2017支付寶怎么獲得五福紅包 2017支付寶五福紅包最全集齊攻略
支付寶今年延續(xù)以往集五福的活動(dòng),用戶(hù)只需要集齊五福就有機(jī)會(huì)獲得相應(yīng)的紅包獎(jiǎng)勵(lì)。怎么集齊五福呢,就讓小編給大家詳細(xì)詳細(xì)的攻略吧2017-01-17- 支付寶app釘釘??t包怎么領(lǐng)取兌換?支付寶app中新增了一個(gè)釘釘???,該怎么使用釘釘??▋稉Q紅包呢?下面我們就來(lái)看看詳細(xì)的教程,需要的朋友可以參考下2017-01-16



2017年支付寶五福紅包玩法變更 紅包隨機(jī)發(fā)最高666元
支付寶暗號(hào)怎么設(shè)置 支付寶暗號(hào)設(shè)置方法


支付寶安逸花怎么申請(qǐng)?支付寶安逸花申請(qǐng)開(kāi)通圖文教程