技术:支付宝漏洞导致密码可被篡改？亲测难度不小

本篇文章1558字，读完约4分钟

今天早上，雷锋网在路上突然收到了支付宝( Alipay )验证码的邮件。 发现异常后，立即打开了支付宝( Alipay )的客户端。 结果出了冷汗。

当自己的支付宝( Alipay )帐户登录到别人时，他很快收到了朋友的wechat消息。

如果用刚才在网上播放的“支付宝( Alipay )致命漏洞”重置你的登录密码，多么成功！ 你还不知道吗？ WeChat的力矩传开了！

“支付宝”上的洞？ 雷锋网一打开WeChat的力矩，就发现很多网络安全圈的朋友都在转“支付宝( Alipay )发现致命的漏洞，把银行卡绑起来”的报道。

据报道，一位网友发现支付宝( Alipay )在登录方法上存在致命的逻辑漏洞，从而允许熟人之间登录到彼此的支付宝( Alipay )帐户。 流程大致如下。

进入“忘记密码”画面选择“不接受邮件”后，会出现两个相关问题:从一九张图像中找到你认识的人。 二、选择与你相关的地址。

如果正确回答这两个问题，可以重置该支付宝( Alipay )账户的密码，同时正常采用登录后不支付密码的迅速支付功能，可以直接采用对方的支付宝( Alipay )的资金。

随着这个消息很快在wechat朋友的圈子里传播，很多人表示了与自己收到支付宝( Alipay )登录验证邮件相关的帐户异常警告，很多人在周围朋友的支付宝( Alipay )帐户中发现了这个漏洞 因为周围已经没有10个成功登录周围朋友支付宝( Alipay )账号，也有网络安全高手，所以这次的问题被评价为非常严重。

真正的成功率怎么样？

雷锋网在尝试了周围朋友的支付宝( Alipay )账户约7~8次后，成功重置了朋友的密码，但双方都很清楚，以对方知道人和购物的记录和地址等为前提实现了。 结果确实令人吃惊，但成功率没有网上说的那么夸张。 “五分之一的陌生人有机会登录支付宝( Alipay )，熟人有机会登录100%支付宝( Alipay )”。

在测试中，两个测试问题随机出现了“你认识的人”、“和你相关的地址”、“你买过的东西”等不同的问题，如果错了一两次，这个方法就会被阻止，只允许用其他方法恢复密码。

经过多次实验后，雷锋网发现自己无论采用谁的支付宝( Alipay )账户，都不能在以前的情况下采用重置密码的方法。

到上午10点左右，测试周围很多漏洞的朋友也表示自己测试失败，只能在自己的常用设备下触发并找回相关消息。 某安全作业人员说“支付宝( Alipay )的应答很快，现在正在调整风控制。 ”。

正式对应支付宝( Alipay )

上午11点50分左右，支付宝( Alipay )的官方微博发表声明，就这次进行公告，全文如下。

目前，蚂蚁金服方面没有给出具体的风控手段解析，但雷锋网显示，支付宝( Alipay )风控和蚂蚁凝聚安全应用了相同的技术基础，由此，评价支付宝( Alipay )也应用了以下的风控手段。

所有支付宝( Alipay )验证注册数据都包含在风险新闻库中。 记录每个风险客户端和背后的手机、邮箱、ip地址和身份证号码。

对于登录到“支付宝”( Alipay )的每个设备，风控操作都会收集多维新闻，以定义设备特定的指纹，例如:

app基本新闻:还包括集成sdk的版本新闻，如app的名称和版本。

设备新闻:包括设备的名称、型号、系统、imei号码和mac地址。

上述

狮子，狮子，狮子，狮子，狮子，狮子，狮子，狮子，狮子，狮子，狮子。

因为是这样，所以是这样，所以是这样。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。因为。 因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为，因为

把