支付宝曝安全漏洞 熟人可轻松破解|回应已修改验证方式-k8凯发

　　1 月 10 日消息，近日有网友爆料称支付宝存在新的漏洞——陌生人有九分之一的机会登陆你的支付宝，而熟人有百分之百的机会登陆你的支付宝。

　　按照网友的说法，支付宝的漏洞远离如下：通过支付宝 app 登录——选择“忘记密码”——选择“手机不在身边”——这时支付宝会让你选择“淘宝买过的东西”（9 张图片选 1 个）——“你可能认识的人”（9 个好友选 1 个）——只要选择对就可以重置密码了。

　　腾讯科技经过实测，发现只要对一个人的购物习惯以及他的圈子比较熟悉的，按照上述操作的确可以很快破解，然后重置密码。

　　不过，根据选择图片的验证操作，陌生人破解支付宝密码的机会并没有1/9 那么高，实际为1/81。但若为熟人操作，则账户被登录的成功率极高。

更新1

　　以下为支付宝回应全文：

　　我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

　　这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

　　这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

　　为了更好提升用户的安全感，在接到网友反映后，我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

　　我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。

更新2

　　对于这次的漏洞，移动安全专家是怎么看的呢？

　　猎豹移动安全工程师@李铁军亲自测试并尝试还原支付宝熟人改密码漏洞，他表示，这次安全问题的关键是“常用设备的验证”被意外绕过了，至少系统应该知道本次登录是“常用设备”、“新设备”、还是“偶尔登录的设备”。每一种登录情形，用不同的验证方式。

　　此外他还透露：“我的支付宝里好友只有 lp 一个，不会添加任何人为支付宝好友，也绝不会拿支付宝做社交工具。余额永远为0，余额宝一年的收益好象不到 5 块钱。支付宝对我来说就是个交易通道，从不担心被盗怎么办。”

　　李铁军强调，如果与支付相关的应用可以在任意设备重置而不要求提供充分信息的情况下，安全风险就存在。

　　所以，一切便捷支付跟安全风险是相伴的。支付有风险，还需小心谨慎。

更新3

　　支付宝已经修改了这个验证方式：

　　支付宝这种验证方式很像机械模仿微信后的结果（可是关系到了支付安全），根据知乎网友，手机淘宝前端老大 winter 所说，这个漏洞十几天前就被发现过了，但是并没有被重视起来。

　　有不少人都宣称要把支付宝好友都删了，这样就不会有熟人验证的尴尬和朋友圈行骗的事情发生了。

　　为了安全保险起见，建议你可以做以下几件事：

　　1. 余额和余额宝中的钱全部转出

　　2. “我的-点击最上方卡片-我的银行卡-选择银行卡-右上角管理-删除”

　　3. 关闭小额免密支付：“设置-支付设置-免密支付-小额免密支付”

　　4. 如果发现自己的账号被登录了，可以在“我的-设置-账户与安全-安全中心-急救包”中选择快速挂失

但是还可以通过手机号和身份证号解除挂失。只能不断挂失解挂，直到绑定新的手机号。

　　5. 花呗额度调到最低的 500 ：“我的-蚂蚁花呗-设置-额度设置”

　　6. 购买支付宝内置的 2 元的账户安全险：“我的-保险服务”

　　7. 登录支付宝 pc 网页版，设置安全问题

　　8. 不建议设置刷脸登录

　　目前支付宝给出的回应，为了证明支付宝的可靠性，支付宝公关们也纷纷晒出了自己的支付宝账户邀请大家来测试刷钱：