近日看到一则新闻说“某男人捡一手机装有付出宝网购，用其采办7台iPhone”。捡到手机的人经由过程付出宝“找回暗码”把持，成功获得暗码，然后开端网购，付出宝被刷了3万多元。关于这则新闻事务的可能性我在微博上与李铁军会商了半天。有些伴侣可能记得在本年三月份有条新闻说有人经由过程某些偏僻地区的移动营业厅，利用假证件挂掉补办他人的手机号，并经由过程手机点窜付出宝暗码，盗取付出宝里余额。我先暂且不往阐发这两件事务的真实性，但作为付出宝的忠合用户，我仍是想往体味一下事实，是不是存在这类可能。

　　之前我其实不是很存眷付出宝的安然新闻。自从被“逼迫”利用了付出宝的快捷付出和比来推出的余额宝，事关本身的好处，是以比来付出宝呈现的安然事务新闻，我城市介入会商一下，包含前次的生意信息泄漏小我信息的事务。因而上周末我花了点时候对阿里的手机客户端做了下测试。因为本人只有安卓的手机，所以测试的都是安卓利用。测试的利用主如果淘宝手机客户端和付出宝钱包(都是最新版本)，同时对wap版及网页版淘宝和付出宝做了附带测试。本次测试没有益用任何东西，仅仅用常规手法测试营业流程。但经由过程测试我仍是发现了一些标题问题，或许有些误差，但测试的成果我都截了，应当反应的都是真实环境。以下是测试发现首要的一些琐细标题问题：

　　1. 一分钱可以买你的账号信息

　　付出宝客户端有一个“手机号转账的功能”。经由过程该功能，可以知道某手机号对应付出宝用户的关头信息。不花钱的环境下可以知道对方的名字，假定付出一分钱，便可以知道对方的付出宝的账号和真实姓名(点击手机转账里对方手机号的联系人图标，为了测试这个标题问题，花了几块钱，希看付出宝赔给我)。

　　关于这个近似的标题问题，之前小鸟在乌云上报过，可是仍是没有完全杜尽。

　　http://wooyun.org/bugs/wooyun-2010-022400

　　别的，http://me.alipay.com 也有这个标题问题，付款前都看不到对方的账号信息，付款后便可以在付出宝里面转账联系人里面看见。

　　2. 提现银行卡号未措置直接显示

　　关于信息泄漏的标题问题客户端还有一些，好比提现银行卡号信息泄漏的标题问题，网页版是看不到的。(301同窗供给)银行卡号在网页版付出宝取回付出暗码时可能被用上。

　　3. 淘宝客户端退出好难

　　淘宝客户端开初我一向没有存眷过退出的标题问题。因为此次趁便测试了下淘宝客户端的安然性，趁便也测试了下安然退出的标题问题，成果发现淘宝客户端的退出好蛋疼。平常平凡退出淘宝客户端我都直接按返回键。有时辰也从菜单里面选择“退出”。但事实上，淘宝的客户端底子没有真实的退出，从头打开仍是会主动登录(登录界面也没有记住暗码的选项)。需要退出账号得在菜单》》设置》》刊出，下次登录才需要输进用户名暗码。

　　别的我寻了半天也没有设置一个近似付出宝手势暗码的处所。既然“不鼓动鼓励”退出，总该弄个其他的简单验证吧。话说淘宝里面有良多隐私信息的，如联系人、订单信息都可以查看，更首要的还可以一键切换到付出宝客户端。

　　4. 付出宝手势暗码形同虚设

　　付出宝的手势暗码看起来很威猛，但其实是个纸老虎，很等闲就可以绕过。我最早想到的编制是把付出宝客户端卸载了从头安装，然后经由过程淘宝客户端的一键切换跳转过往，这个大年夜家可能都能想到。假定机械没有安装淘宝客户端，或淘宝客户端没有登录如何办?编制仍是卸载付出宝客户端，然后从头安装。付出宝卸载并没有删除账号信息，从头安装后还可利用，如许就绕过了手势暗码。

　　付出宝和淘宝的验证信息都存在手机本地，假定手机被植进木马，账号相干文件被盗取，是不是可以在其他手机上直接调用并操纵?是不是可以逆向出用户名暗码?关于这个我并没有测试，假定有同窗有欢愉爱好，可以往研究研究。

　　5. 打消手机令宝不需要验证

　　打消手机令宝不需要任何验证(貌似小额生意免暗码也是，没有测试确认，有欢愉爱好的同窗可以测试测试)。

　　以上发现的这些标题问题可以说是不痛不痒，有些人可能不是很存眷，那么以下这些标题问题需要大年夜家的足够正视。

　　6. 小额免密付出功能与淘宝账号登录付出宝

　　其实还有一种编制绕过付出宝手势暗码，当健忘手势暗码后可以通太从头登录进行绕过。当然不知道付出宝的暗码，可是可以经由过程淘宝账号进行登录。而假定有手机，弄到淘宝账号和暗码比较等闲，仅需要短信验证码(详见下一个标题问题标描述)。

　　良多报酬了便利，开启了小额免密付出功能，经由过程淘宝账号绕过登录后也继续了这一个特权。是以假定手机丢了，每准还会附带赠予200块话费。

　　7. 欠妥的暗码取回机制

　　在说这个题今朝，我大年夜概梳理了下付出宝和淘宝暗码取回的前提要求：

　　今朝付出宝及淘宝用户首要面对的威胁有(不含垂钓等需要用户介入的)：

　　账号被盗

　　电脑中毒

　　手机丢掉或被冒用

　　手机中毒

　　(如不全，请不要鄙夷)

　　针对账号被盗(撞库报复打击)，阿里的应对策略应当足够用，有手机短信作为二次验证，想要点窜暗码，根基上很难。我作为一个安然从业者，对本身的手机系统安然仍是比较有决定信念的，除非被高层盯上要弄我，人家也不会惦记取我的付出宝余额。可是我却不克不及包管本身的手机不丢掉，不克不及包管不会被他人用假身份证把我的手机号补办了。阿里和互联网各大公司的账号取回机制过于依托运营商的短信验证，这让我感应很不安。

　　淘宝wap站及客户端仅通太短信验证码便可以点窜暗码，获得淘宝的权限就相当于获得了付出宝登岸权限(经由过程一键跳转)。

　　手机取回淘宝暗码：

　　手机取回付出暗码：

　　付出宝的暗码点窜，除短信验证外还需要身份证号码做辅助。可是要弄到机主的身份证号码编制太多了。

　　A. 手机上常常能找到身份证的号码(短信、手机邮件、图片扫描件)。玩转手机的达人，丢了手机就自求多福吧。

　　B. 经由过程其他系统如12306这个除公安系统外最大年夜的小我信息库，假定你登录12306的账号是手机邮箱，那对不起。有了手机可以进进手机邮箱，也能够进进12306看到你的身份证号码。(301同窗供给)

　　C. 或略微来点社工手段，好比：捡到手机后，等着机主来德律风。德律风来了，就说“你是机主吗，终究来德律风了，刚才有小我要冒认，还好我机灵。我在某某地等你，穿蓝衣服，你手机仿佛要没有电了，对了你把你身份证号码奉告我，我怕被人冒认，一会没电了我没法和你确认”掉主焦急的环境很有可能就奉告你了。假定小偷体味这个手段，可能偷了手机还能再捞一笔。

　　有些人或许会说我手机有锁屏暗码，但有些锁屏暗码是可以绕过。并且sim卡SD卡是很等闲就掏出来的。或拿我的手机号设置个短信转移，甚么时辰弄到我的身份证号码再下手便可以了(没有手机的环境下，不克不及发短信但，可以经由过程网站点窜，付出宝付出暗码点窜需要的银行卡号可以在提现银行卡号里面获得、也能够在wap网站点窜付出暗码)。

　　不外我仍是最担忧假身份证补办卡的报复打击，sim卡和身份证号码都有了，只要几分钟，余额都没了。

　　对通俗用户来讲，手机中病毒标题问题也很严重，今朝手机的病毒标题问题在前次安卓签名缝隙后貌似有爆发的趋势，病毒可能只需要发送一条短信便可以将手机短信转移了。别的不知道此刻风行的假移动基站程度甚么程度了，是不是是可以嗅探到短信的内容。假定这个能实现也是个很是大年夜的标题问题。Sim卡克隆也多是个路子，或许将来中关村给手机装软件的不但给装插件的app还给你做点其他工作。

　　最后：

　　我们回到最初的2条新闻，从以上阐发，经由过程补办卡号盗取付出宝金钱的是可能的。但捡到手机，然后取回暗码，也是可能的，但需要身份证号码，不然最多只能小额生意。别的那条新闻(http://www.cnbeta.com/articles/250708.htm)明白的说是诺言卡被刷了30000多，关于这个我小我持思疑的太多。假定是余额被消费30000多，那是可能的。快捷付出包含诺言卡付出额度没有那么高，一般就几百。假定要高的付出需要登录诺言卡网上银行，需要填写诺言卡有效期pin码等信息。一张借记卡快捷付出转进到付出宝，一个月限额仿佛是一万(我小我是这个环境，不清晰他人的环境)。那也是借记卡，不是诺言卡。所以关于这条新闻，付出宝最好出来澄清下。

　　经由过程上面的这些阐发，明显付出宝客户端在手机丢掉或手机卡被冒用这块没有做很详实的考虑。以上发现的手机客户端的部门标题问题，实际上在付出宝网页版都有安然考虑(如账号隐躲、封锁手机令宝)。但不知道为甚么在手机客户端呈现了这些标题问题。或许无线部门的安然团队和网页版的不是一拨人，也有可能客户端安然在阿里今朝仍是个盲区。本次测试仅仅用了常规的编制，建议有能力的同窗从软件本身看看是不是是有安然的标题问题。

　　最后，我也没有甚么好的编制，或许最原始的验证安然标题问题是最好的编制。建议各位做移动付出的同窗仍是按照不合场景往从头梳理下安然需求吧，如账号被盗、手机丢掉、手机中毒。不合的环境，报复打击者掌控的资本是不一样的，应当有些规避的编制。篇幅标题问题，就不再烦琐，欢迎大年夜家在微博上会商。

　　以上这些阐发根基上只考虑了手艺上实现的可能性，并没有阐发借到手机后作案的可能性。是以各位网友请不要在犯法心理学上喷我。本次阐发仅仅是因为我心里的不安，付出宝的赔付机制只有5000块大年夜洋，我还没有往细看是不是包含手机丢了被盗是不是在赔付范围以内。何况5000块仅仅是有些同窗余额宝的一点零头罢了。本文写的比较仓促，假定有甚么不当欢迎斧正。