余额宝遭盗频发 再曝支付宝安全漏洞

前不久，一则《余额宝被盗刷6万多元支付宝让失主“耐心等待”》的新闻引发了笔者的密切关注，不仅仅因为笔者也是余额宝的用户，更重要的一点，这则事件可能折射出支付宝在安全上所存在的某些漏洞，如果这些漏洞确实存在，那么支付宝提升安全保障将刻不容缓，否则还会有更多用户遭遇此类事件。

为了将支付宝的整个安全机制搞清楚，笔者花了几天时间来研究，其中分为几个部分，一个是研究支付宝相关的安全功能，以及它们是如何协同工作的；另一个是根据网上所公布的一些信息和案例来分析，核实相关问题，并找到问题的原因所在，通过这两个部分相结合的方式，笔者发现支付宝还真有很多安全问题需要解决。

1.对手机过于“依赖”而产生安全隐患

网上所提到的支付宝有诸如小额免密码支付、绑定银行卡快捷支付等存在漏洞，这些功能确实有问题，但相关功能用户也可以关闭，这个我们待会儿再谈。这里先谈谈很多用户无法改变，但确实很严重的一个问题，就是支付宝对手机过于“依赖”而产生安全隐患。

对一般用户而言，涉及支付宝安全的关键词有如下几个：用户名、登录密码、支付密码、数字证书。只要在上述几个条件满足的情况下，用户就能完成支付。对不法分子而言，他们如果要盗取用户的支付宝账户，则必须解决上述几个问题，别以为这几个问题很困难，只要用户的手机被植入木马，或者手机卡被复制，不法分子就极有可能盗取用户的支付宝账户。

用户名相对容易获取，而登录密码、支付密码，也都可以根据短信验证进行修改，注销和安装数字证书也同样如此。一种情况是，用户的手机被植入木马，黑客在操作过程中，通过木马拦截用户短信，获取验证码，而用户全然不知；还有一种情况是直接复制用户的手机卡，如下图所示。

换言之，只要手机被控制，或者手机卡被复制，不法分子就有可能进行某些设置，比如修改密码、开通无线支付、开通余额支付等等，通过这些手段盗窃用户的钱。当然，一般不法分子还会掌握用户的身份信息，因为在支付宝的某些服务中，需要输入身份证验证，但有的却不需要。总之，对手机过于“依赖”必然会产生极大的安全隐患。

2.手机号绑定的相关问题

上面提到的问题是不更改用户绑定到支付宝的手机号可能会产生的风险，还有另外一种情况，则是修改手机号绑定，也就是说，将原来的手机号解绑，不法分子将自己的手机号绑定上去。笔者对这个方面进行了一定的研究，发现其实不法分子要修改手机号绑定，还是比较麻烦的。

由于笔者是使用邮箱来注册支付宝账号，笔者尝试修改手机号绑定时，系统提示必须根据人工审核来完成修改，其中有以下几个步骤，首先是支付宝会往邮箱发送一份确认链接，然后用户点击之后，会进入一个“自助服务”页面，接下来有几个步骤，如下图所示。应该说整个确认过程还是相对完善，如果用户的信息没有泄露，基本上不法分子想修改绑定手机号还是蛮困难的。不过这一系统仍有漏洞，笔者在不登陆支付宝的情况下，仍然可以访问支付宝所发送的确认链接，而且似乎不存在有效期问题，即便是三天五天之后访问该链接仍然有效，这很令人纳闷儿。

而对于手机注册用户，问题却要简单一些，因为不含邮箱，系统会提示输入邮箱，接下来，系统会往邮箱发送申请表，整个过程和上面的第3步相同。

（编辑：应用网_镇江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!