手機支付寶驚曝3大安全漏洞 可輕易修改任意用戶密碼

在網絡購物已經成為生活一部分的今天，在手機裡裝個支付寶錢包，出門買東西掃二維碼支付已經是家常便飯了。然而就在近日，當你聽話地按提示更新了你的支付寶為“支付寶9.0”（以下簡稱9.0），突然發現有些奇怪的東西混進去了……

眾所周知，在支付寶新升級的9.0版本中取消了用戶手勢密碼的設置，轉變為“大數據風控”保護。如果用戶手機不具備指紋解鎖功能，那麼在其手機上支付寶賬戶可以直接被訪問。

這個修改遭到了不少網友的吐槽和質疑，很多人擔心會因此洩露自己的淘寶購買記錄和日常生活消費記錄，同時還有人擔心這樣會增加熟人作案的風險，一旦有人拿到了你的手機，通過小額支付功能便可以轉走或者消費一部分錢。

當然支付寶也有自己的說法，支付寶稱自己通過多年積攢的大數據來通過用戶行為分析進行身份認證，當不是本人在使用時，支付寶可以通過細小的行為習慣上的區別來判斷。

然而這個宣稱“甚至每一次敲擊屏幕都是安全考驗”的安全體系貌似並沒有那麼神。在昨天中午，FreeBuf創始人pnig0s在微博吐槽，支付寶9.0的重置密碼功能存在邏輯問題，只需要知道用戶身份證號便可以重置其登錄密碼，並且稱朋友圈裡一票人的密碼都被重置了。

小編立刻進行了驗證，小編選擇了一個關系較好的大學同學的支付寶，在登錄界面點擊“登錄遇到問題”，輸入其支付寶賬號

這時系統會顯示已經將校驗碼發送到手機上，我們點擊下面的“無法接收短信”，然後彈出來了一個網頁，讓小編選擇哪幾個是認識的朋友，看到這裡小編真的笑出來了，這安全做的腦洞確實有點大，如果和那人比較熟悉應該都可以輕松選出來。

不過雖然我和他是大學同學，但是還是有一個人不知道如何選擇，小編嘗試了三次之後都失敗了。但是令我更驚訝的事情出現了，支付寶直接提示“請輸入身份證號完成驗證”。

小編無語了3分鐘，只需要知道身份證號便可以修改其支付寶密碼？想到之前給他買過火車票，小編登錄12306查到了這位同學的身份證號，然後便順利的修改了這位同學的支付寶登錄密碼。

小編通過支付寶順利的看到了他的歷史交易記錄、聊天記錄。沒有受到任何異地登錄或者不是賬戶主人的限制，之前支付寶聲稱的“大數據風控”好像並沒有起到什麼卵用。

•在淘寶上買的充氣娃娃、情趣套套和振動棒，支付寶裡是能直接看到交易記錄的啊！!

•低調地往余額寶裡藏100萬人民幣，分分鐘被老婆、同事、捨友知道的啊！！

•打給小三的錢，分分鐘被老婆看到的啊！！！

•給發廊小妹開通的親密付，分分鐘被女朋友看到的啊！！！

•給前女友手機充值，分分鐘被現任發現的啊！！！

同時，小編通過提供的通過支付寶登錄接口，順利登錄了這位同學的淘寶賬戶。

在幾個小時後，支付寶修復了這個安全問題。不過小編還是對這個“大數據風控”抱有懷疑態度，他真的可以通過行為特征區分是不是本人嗎？

於是小編又做了一個測試，把手機交給同部門的源姐，讓她用小編的手機給自己轉賬，小編是一個人高馬大的胖子，而源姐是一個萌萌的妹子，無論是手指的大小、按壓力度、以及使用習慣都是完全不同的，然而源姐還是順利的利用小額免密碼支付從小編的賬戶裡轉走了錢。

既然不是本人也可以輕易轉走賬戶資金，小編不禁對這套安全體系產生了懷疑，支付寶會不會在外界的壓力下重新增加手勢密碼的功能呢？我們也只能觀望了。