比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
手机丢了你的支付宝还安全吗?
关键字：手机邮箱 移动安全
　　近日看到一则新闻说“某男子捡一装有网购，用其购买7台”。捡到手机的人通过支付宝“找回密码”操作，成功获得密码，然后开始网购，支付宝被刷了3万多元。关于这则新闻事件的可能性我在上与李铁军讨论了半天。有些朋友可能记得在今年三月份有条新闻说有人通过某些偏远地区的移动营业厅，使用假证件挂失补办他人的手机号，并通过手机修改支付宝密码，盗取支付宝里余额。我先暂且不去分析这两件事件的真实性，但作为支付宝的忠实用户，我还是想去了解一下究竟，是否存在这种可能。
　　以前我并不是很关注支付宝的安全新闻。自从被“强迫”使用了支付宝的快捷支付和最近推出的余额宝，事关自己的利益，因此最近支付宝出现的安全事件新闻，我都会参与讨论一下，包括上次的交易信息泄露个人信息的事件。于是上周末我花了点时间对阿里的手机客户端做了下测试。由于本人只有安卓的手机，所以测试的都是安卓应用。测试的应用主要是客户端和支付宝钱包(都是最新版本)，同时对版及网页版和支付宝做了附带测试。本次测试没有使用任何工具，仅仅用常规手法测试业务流程。但通过测试我还是发现了一些问题，或许有些偏差，但测试的结果我都截了，应该反映的都是真实情况。以下是测试发现主要的一些零碎问题：
　　1. 一分钱可以买你的账号信息
　　支付宝客户端有一个“手机号转账的功能”。通过该功能，可以知道某手机号对应支付宝用户的关键信息。不花钱的情况下可以知道对方的名字，如果支付一分钱，就可以知道对方的支付宝的账号和真实姓名(点击手机转账里对方手机号的联系人图标，为了测试这个问题，花了几块钱，希望支付宝赔给我)。
　　关于这个类似的问题，之前小鸟在乌云上报过，但是还是没有完全杜绝。
　　http://wooyun.org/bugs/wooyun-
　　另外， 也有这个问题，付款前都看不到对方的账号信息，付款后就可以在支付宝里面转账联系人里面看见。
　　2. 提现银行卡号未处理直接显示
　　关于信息泄露的问题客户端还有一些，比如提现银行卡号信息泄露的问题，网页版是看不到的。(301同学提供)银行卡号在网页版支付宝取回支付密码时可能被用上。
　　3. 淘宝客户端退出好难
　　淘宝客户端起初我一直没有关注过退出的问题。由于这次顺便测试了下淘宝客户端的安全性，顺便也测试了下安全退出的问题，结果发现淘宝客户端的退出好蛋疼。平时退出淘宝客户端我都直接按返回键。有时候也从菜单里面选择“退出”。但事实上，淘宝的客户端根本没有真正的退出，重新打开还是会自动登录(登录界面也没有记住密码的选项)。需要退出账号得在菜单》》设置》》注销，下次登录才需要输入用户名密码。
　　此外我寻了半天也没有设置一个类似支付宝手势密码的地方。既然“不鼓励”退出，总该搞个其他的简单验证吧。话说淘宝里面有很多隐私信息的，如联系人、订单信息查看，更重要的还可以一键切换到支付宝客户端。
　　4. 支付宝手势密码形同虚设
　　支付宝的手势密码看起来很威猛，但其实是个纸老虎，很容易就能绕过。我最先想到的方法是把支付宝客户端卸载了重新安装，然后通过淘宝客户端的一键切换跳转过去，这个大家可能都能想到。如果机器没有安装淘宝客户端，或者淘宝客户端没有登录怎么办?办法还是卸载支付宝客户端，然后重新安装。支付宝卸载并没有删除账号信息，重新安装后还可以使用，这样就绕过了手势密码。
　　支付宝和淘宝的验证信息都存在手机本地，假如手机被植入，账号相关文件被盗取，是否可以在其他手机上直接调用并利用?是否可以逆向出用户名密码?关于这个我并没有测试，如果有同学有兴趣，可以去研究研究。
　　5. 取消手机令宝不需要验证
　　取消手机令宝不需要任何验证(貌似小额交易免密码也是，没有测试确认，有兴趣的同学可以测试测试)。
　　以上发现的这些问题可以说是不痛不痒，有些人可能不是很关注，那么以下这些问题需要大家的足够重视。
　　6. 小额免密支付功能与淘宝账号登录支付宝
　　其实还有一种办法绕过支付宝手势密码，当忘记手势密码后可以通过重新登录进行绕过。虽然不知道支付宝的密码，但是可以通过淘宝账号进行登录。而如果有手机，搞到淘宝账号和密码比较容易，仅需要短信验证码(详见下一个问题的描述)。
　　很多人为了方便，开启了小额免密支付功能，通过淘宝账号绕过登录后也继承了这一个特权。因此如果手机丢了，每准还会附带赠送200块话费。
　　7. 欠妥的密码取回机制
　　在说这个问题前，我大概梳理了下支付宝以及淘宝密码取回的条件要求：
　　目前支付宝及淘宝用户主要面临的威胁有(不含钓鱼等需要用户参与的)：
　　账号被盗
　　电脑中毒
　　手机丢失或被冒用
　　手机中毒
　　(如不全，请不要鄙视)
　　针对账号被盗(撞库攻击)，阿里的应对策略应该足够用，有手机短信作为二次验证，想要修改密码，基本上很难。我作为一个安全从业者，对自己的手机系统安全还是比较有信心的，除非被高层盯上要搞我，人家也不会惦记着我的支付宝余额。但是我却不能保证自己的手机不丢失，不能保证不会被别人用假身份证把我的手机号补办了。阿里以及各大公司的账号取回机制过于依赖运营商的短信验证，这让我感到很不安。
　　淘宝wap站及客户端仅通过短信验证码就可以修改密码，获得淘宝的权限就相当于获得了支付宝登陆权限(通过一键跳转)。
　　手机取回淘宝密码：
　　手机取回支付密码：
　　支付宝的密码修改，除了短信验证外还需要身份证号码做辅助。但是要搞到机主的身份证号码方法太多了。
　　A. 手机上往往能找到身份证的号码(短信、手机邮件、图片扫描件)。玩转手机的达人，丢了手机就自求多福吧。
　　B. 通过其他系统如12306这个除公安系统外最大的个人信息库，假如你登录12306的账号是手机邮箱，那对不起。有了手机可以进入手机邮箱，也可以进入12306看到你的身份证号码。(301同学提供)
　　C. 或者稍微来点社工手段，比如：捡到手机后，等着机主来电话。电话来了，就说“你是机主吗，终于来电话了，刚才有个人要冒认，还好我机智。我在某某地等你，穿蓝衣服，你手机好像要没有电了，对了你把你身份证号码告诉我，我怕被人冒认，一会没电了我无法和你确认”失主着急的情况很有可能就告诉你了。如果小偷了解这个手段，可能偷了手机还能再捞一笔。
　　有些人也许会说我手机有锁屏密码，但有些锁屏密码是可以绕过。而且SD卡是很容易就取出来的。或者拿我的手机号设置个短信转移，什么时候搞到我的身份证号码再下手就可以了(没有手机的情况下，不能发短信但，可以通过网站修改，支付宝支付密码修改需要的银行卡号可以在提现银行卡号里面获取、也可以在wap网站修改支付密码)。
　　不过我还是最担心假身份证补办卡的攻击，sim卡和身份证号码都有了，只要几分钟，余额都没了。
　　对于普通用户来说，问题也很严重，目前手机的问题在上次安卓签名漏洞后貌似有爆发的趋势，只需要发送短信就可以将手机短信转移了。此外不知道现在流行的假移动基站水平什么程度了，是不是可以嗅探到短信的内容。假如这个能实现也是个非常大的问题。Sim卡克隆也可能是个途径，也许未来中关村给手机装软件的不光给装插件的app还给你做点其他事情。
　　最后：
　　我们回到最初的2条新闻，从以上分析，通过补办卡号盗取支付宝金钱的是可能的。但捡到手机，然后取回密码，也是可能的，但需要身份证号码，否则最多只能小额交易。此外那条新闻(/articles/250708.htm)明确的说是信用卡被刷了30000多，关于这个我个人持怀疑的太多。如果是余额被消费30000多，那是可能的。快捷支付包含信用卡支付额度没有那么高，一般就几百。如果要高的支付需要登录信用卡网上银行，需要填写信用卡有效期pin码等信息。一张借记卡快捷支付转入到支付宝，一个月限额好像是一万(我个人是这个情况，不清楚别人的情况)。那也是借记卡，不是信用卡。所以关于这条新闻，支付宝最好出来澄清下。
　　通过上面的这些分析，显然支付宝客户端在手机丢失或手机卡被冒用这块没有做很细致的考虑。以上发现的手机客户端的部分问题，实际上在支付宝网页版都有安全考虑(如账号隐藏、关闭手机令宝)。但不知道为什么在手机客户端出现了这些问题。也许部门的安全团队和网页版的不是一拨人，也有可能客户端安全在阿里目前还是个盲区。本次测试仅仅用了常规的方法，建议有能力的同学从软件本身是不是有安全的问题。
　　最后，我也没有什么好的办法，也许最原始的验证安全问题是最好的办法。建议各位做的同学还是根据不同场景去重新梳理下安全需求吧，如账号被盗、手机丢失、手机中毒。不同的情况，攻击者掌握的资源是不一样的，应该有些规避的方法。篇幅问题，就不再拢队蠹以谖⒉┥咸致邸
　　以上这些分析基本上只考虑了技术上实现的可能性，并没有分析借到手机后作案的可能性。因此各位网友请不要在犯罪心理学上喷我。本次分析仅仅是因为我心里的不安，支付宝的赔付机制只有5000块大洋，我还没有去细看是否包含手机丢了被盗是否在赔付范围之内。何况5000块仅仅是有些同学余额宝的一点零头而已。本文写的比较仓促，如果有什么不妥欢迎指正。
[ 责任编辑：小石潭记 ]
互联网＋，云，大数据时代，外部…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte我是个小孩，没网银，没支付宝什么的。我有个淘宝号，我注册了一个支付宝，没有绑定银行卡，发现可_百度知道
我是个小孩，没网银，没支付宝什么的。我有个淘宝号，我注册了一个支付宝，没有绑定银行卡，发现可
我是个小孩，没网银，没支付宝什么的。我有个淘宝号，我注册了一个支付宝，没有绑定银行卡，发现可以用手机充值卡充值支付宝，可不可以用充到里面的钱在淘宝买东西。
提问者采纳
可以，这个现在只能用电脑操作了。请用电脑登陆支付宝，选择充值，选择消费卡，然后跟指示操作。不登陆支付宝是无法用网银充值支付宝的。支付宝可以接受移动和联通的手机充值卡，面额限100和50的。请先购买好充值卡，支付宝会扣5%手续费，因此请在填写充值金额时注意，否则填错了就无法充值，卡也给废了。
提问者评价
太给力了，你的回答完美地解决了我的问题，非常感谢！
来自团队：
其他类似问题
为您推荐：
其他7条回答
　　是的可以使用手机充值卡充值后，用支付宝余额购物的。将（全国神州行卡、联通一卡充）内的金额，通过支付宝提供的充值渠道，转充至支付宝账户内购物。
没支付宝是买不了东西的
我也没支付宝，有网银就可以了
去银行办一个，只要满16周
没绑定银行卡你怎么往支付宝里充钱
不能，好好读书
支付宝的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁网银开好了，什么都搞好了，为什么淘宝不能用呢？说什么银行卡信息与支付宝信息不符，什么意思？_百度知道
网银开好了，什么都搞好了，为什么淘宝不能用呢？说什么银行卡信息与支付宝信息不符，什么意思？
我有更好的答案
支付宝开通时需进行实名信息登记，如果银行卡开卡信息和支付宝信息不一样可能无法绑定使用，你可以先确定他们的信息是否一样，如果一样，可以再咨询下支付宝客服。
网上直接搜支付宝客服，点击进入，使用人工客服解答
支付宝客服电话:95188
应该是你的支付宝的个人信息与银行卡的信息不一致，你可以修改支付宝上的信息
网银的操作是绝对错不了的，你可以仔细看一下填写支付宝时，所写的手机号码、身份证号码是否和网银的信息一致？如果不是一致，肯定不行的。
网银要绑定支付宝账号绑定好才能用。
登陆支付宝按提示绑定，你不绑定如何使用啊。
我绑定了啊，绑定银行卡嘛
你是不是刚刚弄得，要等一会。
我的淘宝帐号是我另一个手机卡申请的，这个手机卡可以用吗？
我的淘宝帐号是我另一个手机卡申请的，这个手机卡可以用吗？
当然不能了，一个手机号一个账号信息要核对的上才行。
哦，那我得拿这个手机号重新申请一个帐号才行对吧
希望有帮助
应该需要进行激活吧
其他类似问题
为您推荐：
支付宝的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁我手机被偷了 手机卡绑定了银行卡重要资料 支付宝 小米账户这 - 相关问题 - 110网法律咨询
我手机被偷了
手机卡绑定了银行卡重要资料
小米账户这些
手机有防盗功能
现在发现小偷用他的手机号登录我的小米手机
有没有办法通过手机找到小偷
由于我接到一个邮局紧急邮件电话说我涉及上海房子拆迁的财产问题，当时很莫名其名，她建议我报警，要求上海警方给我出示报案证明，以免受到法律责任，当时她帮我转接到上海闵行公安局自称是董杰的警官，警号是008256与我谈话，当时我就说了我发生的情况，要求出示报案证明方，但在他查的时候说我确实有这事且还涉及到有关王国新贪污158万的洗钱案，说他指控我转入15万在我名下，我现在人证物证都在，说我还好自己报警了，不然过几天会向我下令追捕拘留很资金冻结，所以要澄清自己的...
骗子知道我银行卡密码和绑定的手机号且手机还在他身上，但不知道银行卡号，卡里的钱会不会被支出
我银行新开的1个手机邮政银行账户的钱，被骗子转走了怎么办？我第1次开通手机网上银行卡不懂，把所有的验证码和所有的相信都转发给他了，现在卡里的钱都没有了怎样才能追回来？
麻烦问1下被人知道了淘宝账户和密码，我的支付宝和绑定的银行卡还安全吗？
支付宝，银行卡号和跟支付宝，银行卡绑定的手机号被别人知道了，他能盗取我的钱吗
请在您好，我收到了1条中奖信息不慎在钓鱼网站输入了手机号，身份证号和银行卡号，我的手机是和银行卡绑定的，但是那个手机号在那之前就已经报废了，卡上钱会不会有被盗的风险，这张银行卡还能用吗？
请在您好，我收到了1条中奖信息不慎在网站输入了手机号，身份证号和银行卡号，我的手机是和银行卡绑定的，但是那个手机号在那之前就已经报废了，卡上钱会不会有被盗的风险，这张银行卡还能用吗？
怎么取消银行卡与支付宝的关联，怎么注销支付宝与个人信息
朋友的QQ被盗了，然后让我帮他修改支付宝密码，说借用我的手机号收个验证码修改一下，结果我就发了一个修改密码的验证码和使用支付宝的验证码给他，结果通过支付宝平台，单凭用一个手机验证码就把我支付宝和绑定在支付宝的两张银行卡里所有的钱都盗走了，平常在别的电脑上支付都必须要安装数字安全证书才可以的，也要用手机验证码才行吖，盗取支付宝和两张银行卡里的钱一个手机验证码就能盗走了，未必也太不安全了吧，如果手机被盗了，那么银行卡里的钱不是轻易就能被盗取吗！请问...
朋友的QQ被盗了，然后让我帮他修改支付宝密码，说借用我的手机号收个验证码修改一下，结果我就发了一个修改密码的验证码和使用支付宝的验证码给他，结果通过支付宝平台，单凭用一个手机验证码就把我支付宝和绑定在支付宝的两张银行卡里所有的钱都盗走了，平常在别的电脑上支付都必须要安装数字安全证书才可以的，也要用手机验证码才行吖，盗取支付宝和两张银行卡里的钱一个手机验证码就能盗走了，未必也太不安全了吧，如果手机被盗了，那么银行卡里的钱不是轻易就能被盗取吗！请问...