支付宝iOS客户端惊爆锁屏漏洞!
- 2013-12-14 15:40:52
- 类型:原创
- 来源:电脑报
- 报纸编辑:王诚
- 作者:
【电脑报在线】自从支付宝出现以后,笔者的网上交易基本上都是通过支付宝完成,有时甚至不怎么使用网银,特别是当快捷支付开通之后,使用支付宝进行网上交易会更加便捷。后来有了手机端的支付宝客户端后,小额的支付更是方便,通过设置安全图形密码,以及小额免密码服务,基本上充话费或者在淘宝上购买一些小的东西,笔者都是通过手机支付宝直接完成。但是近日支付宝iOS客户端竟然爆出一个非常重大的安全漏洞,可以跳过图形安全密码,直接完成支付,着实让人惊出一身汗来。
自从支付宝出现以后,笔者的网上交易基本上都是通过支付宝完成,有时甚至不怎么使用网银,特别是当快捷支付开通之后,使用支付宝进行网上交易会更加便捷。后来有了手机端的支付宝客户端后,小额的支付更是方便,通过设置安全图形密码,以及小额免密码服务,基本上充话费或者在淘宝上购买一些小的东西,笔者都是通过手机支付宝直接完成。但是近日支付宝iOS客户端竟然爆出一个非常重大的安全漏洞,可以跳过图形安全密码,直接完成支付,着实让人惊出一身汗来。
亲测漏洞:轻松突破锁屏障碍
这次手机支付宝iOS客户端的解锁漏洞,主要是可以在飞行模式下,在连续输入错误的解锁图形密码后,重新登陆客户端时可以重新设置密码,联网后就能直接进行支付。
笔者对漏洞进行了测试,首先将苹果手机设置为飞行模式,然后登陆手机支付宝客户端,接着随意输入解锁密码,连续五次输入错误后,支付宝会提示用户“手势解锁已关闭,请重新登录”的提示,这时选择确定。
然后,直接点击Home键退出手机支付宝客户端。接着双击Home键,在后台中将支付宝程序关闭,然后重新打开支付宝,这时你会发现支付宝竟然会要求你重新设置图形解锁密码,设置成功后就可以了。接下来,将飞行模式关闭,将手机接入网络后我们发现已经成功登陆支付宝,并且可以通过支付宝进行交易,如果之前开启过小额支付免密码服务,那么低于200云的交易都可以直接进行操作——可想而知如果你的苹果手机掉了或被偷了,这时拿着它的人就可以用你的手机支付宝Happy地购物了。
接下来,笔者又在其他手机平台进行了专门的测试,发现Android和Windows Phone平台都没有出现这样的漏洞。看来这个漏洞是手机支付宝iOS客户端独有的。所以使用iPhone或者iPad的用户一定要注意,一个不小心你的银行卡就要受罪了。
首先开启飞行模式
然后故意输入5次错误的密码
设置密码成功后就可以进入支付宝了,联网后即可进行交易
支付宝升级之前,如何防范
这个重大漏洞爆出以后,支付宝官方目前并没有进行回应,在最近几日也没有专门对iOS端的支付宝客户端进行升级,那用户该如何保障自己财产的安全呢?其实在支付宝没有推出新版客户端之前,我们可以通过以下的方法进行防范:
1、设置手机解锁屏密码。
(操作方法:在“设置”中选择“通用”然后选择“Touch ID和密码”功能,接着设置解锁密码即可)
2、在支付宝客户端内将“小额免密支付”功能关闭。
(操作方法:在支付宝的“安全”设置中,选择“支付设置”,然后将“小额免密支付”功能关闭)
当然上面所有的防范措施都是临时的,我们希望支付宝官方尽快推出专门的升级版本来封堵漏洞。不过大家在日常使用手机时,一定要注意保护自己的密码安全,特别是当手机与支付宝或者银行客户端进行绑定后,一定要为手机设置解锁密码,防止手机丢失后被人通过各种客户端窃取钱财。另外,如果手机上收到与获取密码或者进行钱财交易相关的信息以及网站链接时,一定要注意确认信息来源,切莫轻易相信。毕竟在移动互联网时代,骗子们也在不断升级,各种新招数层出不穷,我们自己也要时刻警信、保持充电才能避免中招。
关闭“小额免密支付”是非常重要的
编辑观点
手机支付:不要做装满鸡蛋的筐
不得不说智能手机的确让我们的日常生活与社交方式有了很大的改变,在某些方面也带来了极大的便利。不过,从手机吸费到恶意APP攻击,再到手机支付的风险,手机的安全问题也越来越受到人们关注。
以往觉得掉了钱包很麻烦——身份证、银行卡都在里面,拿到的人去银行提钱十分容易。而现在,手机上有各种绑定银行卡的支付平台,同时很多身份验证也根据手机号码来进行,所以掉了手机你会觉得更头痛,人家提你的钱连银行都不用去,手机上直接就把钱给转走了。俗话说得好,不要把所有的鸡蛋都放在一个筐里,而在移动互联网时代,似乎手机就是这个筐。
话说回来,在手机还只用来打电话、大家还用传统的方式完成支付与转账的时代,我们也逐渐重视和学会了如何保护自己的银行账户,而现在手机支付发展太快,除了本身系统需要完善外,更大的问题是多数人还没有相关的安全防护概念,对在手机支付流程的各个环节中如何规避风险还没有足够的意识,大家无意中就把所有的“蛋”都放在手机这一个“筐”里了。当然,随着手机支付平台越来越完善,用户对手机支付的熟悉程度提高,一筐鸡蛋全打碎的几率也会大大降低,这是一个相对来说比较长的阶段,但这并不会阻碍手机支付的发展。
延伸阅读
央视报道:山寨手机预装软件造成支付风险
央视新闻频道报道称,山寨手机的预装软件很可能引起手机支付的风险,而且Android手机也被曝出99%机型都有高危漏洞,黑客利用该漏洞,可篡改任意手机应用程序并植入木马,完全控制用户的手机。因此,安全专家建议用户最好为手机安装安全软件。
手机安全专家表示,利用该系统级高危漏洞,木马就可取得很高的权限,并绕过一些安全防护,窃取手机中的资料、通过读取手机通讯录向手机中所有的亲友发送欺诈短信。同时,一些山寨手机中预装的软件很可能就是木马,所以专家提示购买山寨手机一定要小心。
为保证手机安全,专家建议在下载应用时一定要选择正规渠道,以避免下载到被篡改及被植入木马的恶意程序,同时,对任何使用扫描,下载并输入个人账号信息行为的软件,要保持足够警惕,如无法避免,最好使用手机杀毒软件进行检测后确认安全再使用。
此外,在手机支付行为结束后,最好保证常用的网银账户不留余款或少留余款,万一中招也不会有太大损失。而且,为避免手机卡被复制,要先让自己的手机卡成为实名卡,如果手机丢失应该及时挂失。
微信支付的隐患
微信5.0加入了支付功能,但是实际上存在安全隐患。一旦微信号被盗,银行资金就存在被盗危险。
绝大多数的微信用户,使用的是手机号注册,手机号变成了用户ID。手机丢失了,号码可以挂失,但是作为ID的手机号却始终在微信中存在,麻烦的是这个无法挂失的手机号ID背后就绑定着你的银行卡(想要解绑和微信绑定的手机号?那你得在挂失后领一张同号的新卡,否则收不到验证码怎么解绑)。
事实上,为了保证微信支付的快捷,腾讯已经放弃了再次验证的环节(手机号挂不挂失根本不重要了……),只要绑定一次卡片,剩下的所有支付将只要通过一组密码就可以完成。用户只能寄希望于微信账号不要丢了。
最大的问题就是,现在很多人在丢手机后不是去补一张同号的卡,而是新办一个号码。也就是说,你以为已经放弃了这个手机号,但在微信的世界里,这个号仍然绑定着你的银行卡,唯一的防线:支付密码一破,钱就任人家花了。 
亲测漏洞:轻松突破锁屏障碍
这次手机支付宝iOS客户端的解锁漏洞,主要是可以在飞行模式下,在连续输入错误的解锁图形密码后,重新登陆客户端时可以重新设置密码,联网后就能直接进行支付。
笔者对漏洞进行了测试,首先将苹果手机设置为飞行模式,然后登陆手机支付宝客户端,接着随意输入解锁密码,连续五次输入错误后,支付宝会提示用户“手势解锁已关闭,请重新登录”的提示,这时选择确定。
然后,直接点击Home键退出手机支付宝客户端。接着双击Home键,在后台中将支付宝程序关闭,然后重新打开支付宝,这时你会发现支付宝竟然会要求你重新设置图形解锁密码,设置成功后就可以了。接下来,将飞行模式关闭,将手机接入网络后我们发现已经成功登陆支付宝,并且可以通过支付宝进行交易,如果之前开启过小额支付免密码服务,那么低于200云的交易都可以直接进行操作——可想而知如果你的苹果手机掉了或被偷了,这时拿着它的人就可以用你的手机支付宝Happy地购物了。
接下来,笔者又在其他手机平台进行了专门的测试,发现Android和Windows Phone平台都没有出现这样的漏洞。看来这个漏洞是手机支付宝iOS客户端独有的。所以使用iPhone或者iPad的用户一定要注意,一个不小心你的银行卡就要受罪了。
首先开启飞行模式
然后故意输入5次错误的密码
退出后重新登陆支付宝,程序会要求你重新设置手势密码
设置密码成功后就可以进入支付宝了,联网后即可进行交易
支付宝升级之前,如何防范
这个重大漏洞爆出以后,支付宝官方目前并没有进行回应,在最近几日也没有专门对iOS端的支付宝客户端进行升级,那用户该如何保障自己财产的安全呢?其实在支付宝没有推出新版客户端之前,我们可以通过以下的方法进行防范:
1、设置手机解锁屏密码。
(操作方法:在“设置”中选择“通用”然后选择“Touch ID和密码”功能,接着设置解锁密码即可)
2、在支付宝客户端内将“小额免密支付”功能关闭。
(操作方法:在支付宝的“安全”设置中,选择“支付设置”,然后将“小额免密支付”功能关闭)
当然上面所有的防范措施都是临时的,我们希望支付宝官方尽快推出专门的升级版本来封堵漏洞。不过大家在日常使用手机时,一定要注意保护自己的密码安全,特别是当手机与支付宝或者银行客户端进行绑定后,一定要为手机设置解锁密码,防止手机丢失后被人通过各种客户端窃取钱财。另外,如果手机上收到与获取密码或者进行钱财交易相关的信息以及网站链接时,一定要注意确认信息来源,切莫轻易相信。毕竟在移动互联网时代,骗子们也在不断升级,各种新招数层出不穷,我们自己也要时刻警信、保持充电才能避免中招。
关闭“小额免密支付”是非常重要的
编辑观点
手机支付:不要做装满鸡蛋的筐
不得不说智能手机的确让我们的日常生活与社交方式有了很大的改变,在某些方面也带来了极大的便利。不过,从手机吸费到恶意APP攻击,再到手机支付的风险,手机的安全问题也越来越受到人们关注。
以往觉得掉了钱包很麻烦——身份证、银行卡都在里面,拿到的人去银行提钱十分容易。而现在,手机上有各种绑定银行卡的支付平台,同时很多身份验证也根据手机号码来进行,所以掉了手机你会觉得更头痛,人家提你的钱连银行都不用去,手机上直接就把钱给转走了。俗话说得好,不要把所有的鸡蛋都放在一个筐里,而在移动互联网时代,似乎手机就是这个筐。
话说回来,在手机还只用来打电话、大家还用传统的方式完成支付与转账的时代,我们也逐渐重视和学会了如何保护自己的银行账户,而现在手机支付发展太快,除了本身系统需要完善外,更大的问题是多数人还没有相关的安全防护概念,对在手机支付流程的各个环节中如何规避风险还没有足够的意识,大家无意中就把所有的“蛋”都放在手机这一个“筐”里了。当然,随着手机支付平台越来越完善,用户对手机支付的熟悉程度提高,一筐鸡蛋全打碎的几率也会大大降低,这是一个相对来说比较长的阶段,但这并不会阻碍手机支付的发展。
延伸阅读
央视报道:山寨手机预装软件造成支付风险
央视新闻频道报道称,山寨手机的预装软件很可能引起手机支付的风险,而且Android手机也被曝出99%机型都有高危漏洞,黑客利用该漏洞,可篡改任意手机应用程序并植入木马,完全控制用户的手机。因此,安全专家建议用户最好为手机安装安全软件。
手机安全专家表示,利用该系统级高危漏洞,木马就可取得很高的权限,并绕过一些安全防护,窃取手机中的资料、通过读取手机通讯录向手机中所有的亲友发送欺诈短信。同时,一些山寨手机中预装的软件很可能就是木马,所以专家提示购买山寨手机一定要小心。
为保证手机安全,专家建议在下载应用时一定要选择正规渠道,以避免下载到被篡改及被植入木马的恶意程序,同时,对任何使用扫描,下载并输入个人账号信息行为的软件,要保持足够警惕,如无法避免,最好使用手机杀毒软件进行检测后确认安全再使用。
此外,在手机支付行为结束后,最好保证常用的网银账户不留余款或少留余款,万一中招也不会有太大损失。而且,为避免手机卡被复制,要先让自己的手机卡成为实名卡,如果手机丢失应该及时挂失。
微信支付的隐患
微信5.0加入了支付功能,但是实际上存在安全隐患。一旦微信号被盗,银行资金就存在被盗危险。
绝大多数的微信用户,使用的是手机号注册,手机号变成了用户ID。手机丢失了,号码可以挂失,但是作为ID的手机号却始终在微信中存在,麻烦的是这个无法挂失的手机号ID背后就绑定着你的银行卡(想要解绑和微信绑定的手机号?那你得在挂失后领一张同号的新卡,否则收不到验证码怎么解绑)。
事实上,为了保证微信支付的快捷,腾讯已经放弃了再次验证的环节(手机号挂不挂失根本不重要了……),只要绑定一次卡片,剩下的所有支付将只要通过一组密码就可以完成。用户只能寄希望于微信账号不要丢了。
最大的问题就是,现在很多人在丢手机后不是去补一张同号的卡,而是新办一个号码。也就是说,你以为已经放弃了这个手机号,但在微信的世界里,这个号仍然绑定着你的银行卡,唯一的防线:支付密码一破,钱就任人家花了。 
本文出自2013-12-16出版的《电脑报》2013年第49期 D.智能手机
(网站编辑:pcw2013)
读者活动
48小时点击排行
编辑推荐
论坛热帖
网站地图 | 版权声明 | 业务合作 | 友情链接 | 关于我们 | 招聘信息
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sin*.c*m 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcwi.com
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号
报纸客服电话:4006677866 报纸客服信箱:pcw-advice@vip.sin*.c*m 友情链接与合作:987349267(QQ) 广告与活动:675009(QQ) 网站联系信箱:cpcw@cpcwi.com
Copyright © 2006-2011 电脑报官方网站 版权所有 渝ICP备10009040号