V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
l12ab
V2EX  ›  支付宝

能否讨论一下支付宝 APP 的安全问题

  •  
  •   l12ab · 2015-07-09 15:03:10 +08:00 · 6117 次点击
    这是一个创建于 3431 天前的主题,其中的信息可能已经有所发展或是发生改变。

    以前没认真研究过支付宝APP的安全问题,直到昨天更新了新版支付宝9.0后才试了一下。

    不讨论手机本身的安全问题,不论苹果还是安卓,不讨论网页版支付宝的问题,只讨论支付宝APP的安全问题。

    假设前提:
    1、手机被偷了或者掉了;
    2、没有及时发现被偷或掉,所有没有及时去挂失银行卡、挂失支付宝、挂失手机号。

    如果小偷直接操作手机,那么问题来了:
    1、手势密码密码通过忘记手势来重新登录来解决,重新登录的登录密码可以直接手机验证码找回,我今天试了点忘记密码,收货验证码就来了,然后就可以重新设置登录密码了;另外,手势密码功能已经下线;
    2、没有手势密码的话,就直接进入APP了,然后账户余额、关联了几张卡、账单记录等等一览无余,还可以向朋友收款借钱了,这个借钱有点扯远了啊,光借钱没意思,钱还是在这个支付宝里;
    3、光看余额也没意思啊,要把钱弄到手才行,所以就来重置支付密码了。当我点击“重置支付密码”,系统显示这是我的常用设备,然后我点击下一步,就直接把支付密码改了,无需输入以前的支付密码,无需进行其他任何验证,对,就这么改了,改了自然就可以买东西了转账了。
    4、如果更不幸,你的身份证银行卡一起被盗,且银行卡也是填写这个手机号,那么就可以直接绑定快捷支付,然后将银行卡里钱也卷走了。

    http://ww2.sinaimg.cn/large/692aa05cgw1etwiyrm2rqj20hs0vkdhf.jpg

    虽然支付宝有保险最高赔100万,但谁愿意被盗了以后再去索赔呢?

    第 1 条附言  ·  2015-07-09 19:23:32 +08:00
    看了支付宝的微博评论,下面一片骂声啊!主要问题就是隐私和支付密码

    目前看来,支付宝APP本身已不安全
    所以,
    1、可以用完就退出,甚至删除APP;
    2、通过手机本身来加强安全,比如锁屏密码,指纹解锁,BioProtect等插件
    18 条回复    2015-07-09 20:02:47 +08:00
    Kahn
        1
    Kahn  
       2015-07-09 15:36:41 +08:00
    我的支付宝绑定在另外一个手机上。。。
    Alwaysonline
        2
    Alwaysonline  
       2015-07-09 15:39:23 +08:00
    开个玩笑: 买苹果5S以上的苹果手机,带指纹。 :)

    小心使得万年船,支付宝用的时候登陆,用后退出。//
    contactfront
        3
    contactfront  
       2015-07-09 15:40:12 +08:00
    用后退出登录
    绑定的手机号是另一台设备
    hinate
        4
    hinate  
       2015-07-09 15:40:49 +08:00 via Android
    这都被赶上了,那说明天要亡你
    coolzjy
        5
    coolzjy  
       2015-07-09 15:42:35 +08:00
    细思恐极,修改密码居然不用输入原密码的设定也是醉了
    iqav
        6
    iqav  
       2015-07-09 15:44:12 +08:00
    好像很危险的样子。好多安全的问题都依赖手机本身,能不能在手机本身上做点手脚来提高安全性?
    simple_plan
        7
    simple_plan  
       2015-07-09 15:46:09 +08:00 via Android   ❤️ 1
    大学室友今天发的微博 :

    晚上十点半显示有人在电脑端登录了我支付宝,然而有人申请通过邮箱方式修改登录密码,我在手机端改了一下支付密码。刚刚0点20分又显示有人用什么客户端登录,然而这次我在手机端登录失效,通过手机号码重置密码后居然还是不正确,现在我已经登录不了支付宝了@支付宝 @支付宝客户中心 求解答 [图片] 

    PS Root过的
    xdeng
        8
    xdeng  
       2015-07-09 15:57:28 +08:00
    用iPhone 保平安
    imn1
        9
    imn1  
       2015-07-09 16:07:26 +08:00
    支付宝这个业务流程是错误的,所以一直不用
    paradoxs
        10
    paradoxs  
       2015-07-09 16:22:43 +08:00
    支付宝的核心是那个100万的保险。
    这个赔付率据我所知几乎高达100%
    imn1
        11
    imn1  
       2015-07-09 16:32:48 +08:00
    其实这些问题在内地是存在法理逻辑错误的,所以无解
    商户甲方,客户乙方,第三者丙方从甲方盗取,只要乙方和丙方无关联,那就只是甲方和丙方之间的事,无论丙方是否使用了乙方的资料;除非乙方向丙方提供信息,那才能算乙方参与了
    现在乙方要直接担责(或多或少),实质就是有罪推论(连坐)

    典型的例子还有停车场车辆被盗、银行被转账……诸如此类
    cxe2v
        12
    cxe2v  
       2015-07-09 16:33:26 +08:00
    你试试到一个陌生的wifi下进行重置密码的操作,多半就会验证身份了
    v2Panda
        13
    v2Panda  
       2015-07-09 16:34:51 +08:00
    刚试了一下 还真不要原密码就能改支付密码。
    在以前手机丢了就丢了,现在连支付宝一起丢..
    freed
        14
    freed  
       2015-07-09 17:11:12 +08:00
    所以我手机没装任何购物 支付类的APP
    b821025551b
        15
    b821025551b  
       2015-07-09 17:27:30 +08:00   ❤️ 1
    @cxe2v 试了一下,8.6版会做这个验证,但是9.0貌似只验证设备。
    TakanashiAzusa
        16
    TakanashiAzusa  
       2015-07-09 18:00:13 +08:00
    手机先锁屏。。
    belin520
        17
    belin520  
       2015-07-09 18:10:48 +08:00   ❤️ 1
    leavic
        18
    leavic  
       2015-07-09 20:02:47 +08:00
    你手机都丢了,支付宝还能怎么办,直接换个手机用你SIM卡就能重置密码了,还要什么APP。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1017 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:35 · PVG 03:35 · LAX 11:35 · JFK 14:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.