马云在美国会见川普的画面传回国内的同时,支付宝却用一个漏洞抢夺了各大科技媒体的头条。
1 月 10 日上午,不少网友及自媒体爆料称,熟知你支付宝个人信息的朋友可以通过“找回密码”功能登录你的支付宝并修改登录密码。当时,许多人都认为这可能又是某种不怀好意的谣传,毕竟像支付宝这样一个关系几亿用户财产安全的应用,哪能说出漏洞就出漏洞,但随着曝光的截图越来越多以及官方作出正式回应时,大家才发现这原来竟然是真的。
准确的说是在今天上午 10 点以前,这个漏洞是真实存在的。大致的破解方式如下,在登录界面点击“忘记密码”,然后在重置登录密码界面选择无法接收短信,然后只需通过选对一些个人信息,包括从九个图中选出你的好友、选出你近期购买的物品、选出一个与你有关的地址等,即可“重置登录密码”。
这意味着,如果你是账号主人的朋友,并对他的信息有所了解的话,就可能重置其登陆密码。从网络上的反馈来看,确实有部分人通过这种方式成功修改了朋友的支付宝登陆密码,并且顺利登入了相应账号。
于是大家纷纷感叹,没想到支付宝用这种方式,让人人都体验到了当黑客的感觉。
登陆密码被修改自然会危及到用户的财产安全,因为有些账号为了方便开通了小额免密支付,对于像点外卖、打车等小额支付不需要输入支付密码,另外有些用户也开通了当面扫码支付无需密码功能。因此在被修改了登陆密码之后,即使不用知道支付密码,也可以使用该账号消费。
更让人恐惧的是,即便是陌生人也可以在任何一台设备上,利用一个陌生手机号码,并可能碰巧成功选中购买的商品和朋友,进而破解该手机号码对应的支付宝账号。如果被陌生人修改了登陆密码,除了能免密消费之外,还可能通过此账号信息,对支付宝好友实行诈骗。
总之,这属于一个高危漏洞。
在网络的一遍哗然之中,支付宝仍保持了一惯泰然姿态,并在早上 11 点 50 分左右发布了“对于安全问题回复策略调整通知”,声称是进一步提高了风控系统的安全等级,目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
支付宝的回应也间接承认了该漏洞确实真实存在。
之后,锋观点仍试图采用同样的方式进行修改密码,但发现仅在自己手机上点击“忘记密码”,系统才能检测跳出近期购买的商品及好友。而如果在其他设备上点击“忘记密码”,首先系统会自动发送验证码短信到相应手机号,然后再跳转到一个“安全检测”页面,这个过程应当是风控系统在对设备的安全性作出检查,一旦查出不是机主本人的手机便会跳转到“身份证号验证”、“回答安全保护问题”、“刷脸验证”(需眨眼才能验证,所以静态照片无法通过验证)、“验证本人银行卡信息”等验证方式的页面。
锋观点在经过几轮测试后,仍没能登陆任何一个联系人的支付宝帐号,反而支付宝还发了一堆验证短信到联系人的手机上。这说明支付宝确实已经堵上了这个漏洞。
那么,导致支付宝出现该漏洞的原因有哪些?
最直接的原因是在风控系统的评估上,支付宝系统并没有对设备进行检测,或是直接绕过了“常用设备验证机制”,让所有的设备在点击“忘记密码”后都直接跳转到了验证购买商品和好友的页面,这显然是不符合安全规范的。而合理的做法是,每次登陆时应用都应识别出登陆的是“常用设备”、“新设备”还是“偶尔登录的设备”,并且根据每次登陆情况的不同,给出不同的验证方式。
而另一个潜在的原因在于支付宝强行打造的社交体系。从最初加入“朋友”功能,再到前段时间的“校园日记”、“白领日记”,支付宝为了做社交算是费尽了心力。而这次竟然还在“忘记密码”的验证过程中又植入社交元素,这让人觉得社交似乎已经在支付宝体内无孔不入。
从产品思维角度来看,通过让用户点击自己的好友来验证,这一方式其实并没有多大的问题,反而还能加强用户对于支付宝的社交概念,这其实透出了支付宝产品经理的一丝丝小聪明。然而,他没有考虑到的是,这种方式竟然能够被熟人利用,从而引发出了巨大的安全漏洞。
支付宝无法做大社交,根本原因在于它自带的财产属性与社交的开放性在本质上完全相悖,支付交易中最重要的事情是安全和隐私,而社交的加入则让这种隐私更加扩大化。比如前几天,支付宝推出了 2016 年年度账单功能,许多隐性的土豪都晒出了几十、上百万的年度支付费用,但网友调侃得最多的是:终于知道该向谁借钱了。
“财不外露”是中华民族的传统观念,大家都不愿意将自己的财富与他人建立关系,而支付宝强行做社交正好违背了这一理念。
这个高危漏洞爆出之后,许多用户为了防止中招,都纷纷打开支付宝删除好友。看来支付宝之前费尽心思打造的社交基础,被这一个漏洞就瓦解了。