大家好,玲玲来为大家解答以上问题,余额宝安全还是朝朝盈,余额宝安全漏洞很多人还不知道,现在让我们一起来看看吧!
【PConline江苏站资讯】前不久,《余额宝被盗刷6万多元支付宝让失主“耐心等待”》的一则新闻引起了笔者的密切关注,不仅仅是因为笔者也是余额宝的用户,更重要的是,这件事可能反映了支付宝在安全方面的一些漏洞。如果这些漏洞确实存在,支付宝急需提高安全性,否则会有更多用户遭遇此类事件。
为了摸清支付宝的整个安全机制,笔者花了几天时间研究了一下,分为几个部分。一个是研究支付宝相关的安全功能,以及如何协同工作;另一种是根据网上公布的一些信息和案例,对相关问题进行分析核实,找出原因。通过这两部分的结合,笔者发现支付宝确实有很多安全问题需要解决。
1.过于“依赖”手机导致安全隐患。
网上说的支付宝有一些漏洞,比如小额免密码支付,绑定银行卡快捷支付等。这些功能确实有问题,但是相关功能的用户也可以关闭。我们以后再谈这个。在这里,我们来说一个很多用户改不了,但确实很严重的问题,就是支付宝对手机过于“依赖”,导致潜在的安全隐患。
对于一般用户来说,与支付宝安全相关的关键词有几个:用户名、登录密码、支付密码、数字证书。只要满足以上条件,用户就可以完成支付。对于不法分子来说,要想盗取用户的支付宝账号,必须解决上述问题。不要认为这些问题很难。只要用户手机被植入木马或者手机卡被复制,不法分子就极有可能盗取用户的支付宝账户。
用户名相对容易获取,登录密码和支付密码也可以根据短信验证修改,数字证书的注销和安装也可以。一种情况,用户手机被植入木马,在操作过程中,黑客通过木马拦截用户短信获取验证码,而用户完全不知情;另一种情况是直接复制用户的手机卡,如下图所示。
也就是说,只要手机被控制或者手机卡被复制,不法分子就有可能进行一些设置,比如修改密码、开通无线支付、开通余额支付等。并通过这些手段盗取用户的钱。当然,一般的不法分子也会掌握用户的身份信息,因为在支付宝的一些服务中,需要输入身份证验证,但有的没有。总之,过度依赖手机,必然会带来很大的安全隐患。
2.与手机号码绑定相关的问题
上述问题就是用户不更换绑定支付宝的手机号可能产生的风险。还有一种情况,就是修改手机号绑定,也就是说将原来的手机号解除绑定,不法分子会绑定自己的手机号。笔者在这方面做过一些研究,发现不法分子修改手机号码绑定比较麻烦。
由于我使用邮箱注册支付宝账号,当我尝试修改手机号绑定时,系统提示必须按照人工审核完成修改。有以下步骤。首先,支付宝会向邮件发送一个确认链接,然后用户点击后,会进入一个“自助”页面。接下来有如下图所示的几个步骤。应该说整个确认过程是比较完善的。如果不泄露用户的信息,基本上不法分子修改绑定的手机号是相当困难的。但是,这个系统还是有漏洞的。笔者在不登录支付宝的情况下仍然可以访问支付宝发来的确认链接,而且好像没有有效期。即使过了三天五天,链接依然有效,很让人费解。
对于手机注册用户来说,问题更简单,因为没有邮箱,系统会提示你输入邮箱。接下来,系统会将申请表发送到邮箱,整个过程与上面的步骤3相同。可见手机注册用户的安全性应该不如邮箱用户。不过,手机注册用户仍然可以添加电子邮件帐户来改善它。
所以我们不建议用户用手机号注册支付宝。如果他们用邮箱注册支付宝,我们也不建议你开通手机登录功能。
3.手机钱包的安全隐患
先说支付宝手机钱包的安全隐患。我第一次用支付宝手机钱包的时候,发现有时候不用输入支付密码也能转账。这就是小额免密码支付功能。虽然方便,但是真的不安全。特别是有用户在IOS系统上进行了测试。他们先关闭网络,然后登录手机支付宝,划错五次密码手势,后台关闭支付宝软件,再次打开设置新手势。即使上网后,他们也能进入软件。如果账户设置了小额免密支付,可能会有被盗的风险!
当然,手机钱包的问题不止于此。笔者之前已经开通了每月6分钱的短信验证服务。开通该功能后,每一笔转账,无论金额大小,都必须进行短信验证。这个功能在PC上没问题,但是在手机上用不了。也就是说,支付宝并没有为手机钱包同步覆盖这一功能。
这也是一个大问题。众所周知,支付宝对PC端转账收费,其目的是推广移动端。但相比之下,移动端的支付宝钱包在功能和安全性上还处于初级阶段。未来支付宝必须加快步伐,完善移动端。当然,对于使用支付盾的用户,我们建议关闭无线支付,否则,潜在的安全隐患可能依然存在。
除了这些问题之外,用户在使用支付宝手机钱包时要特别注意定期查杀手机上的病毒木马,不要访问不明网站,也不要随便关注。
4.PC中木马导致支付宝钱被盗
还有一种情况,就是PC中木马,导致支付宝钱被盗,黑客利用木马远程控制用户的电脑,同时他们也可能早已经掌握用户的登陆密码和支付密码,这时候,他们就可以直接在用户电脑上进行操作。当然,如果用户设置了短信验证等功能,在手机未中病毒或者手机号未泄露的情况下,仅仅有这些步骤将无法完成资金盗窃,不过这种情况仍不得不防。
当然,对大家熟悉的像小额免密码支付功能、快捷支付功能我们就不再赘述,网上已经讲了很多了,希望大家关闭这些功能,确保自己账户安全。
图片来源:网络