密码五连错可破解支付宝? 回应:漏洞已修复

12.12.2013  20:37

  连续随意输错五次支付宝手势密码,就能利用一个漏洞,任意进入手机的支付宝账户?近日来,一条“解密”支付宝攻略在网络上被广泛转发。越来越多的网友发现,这并不是传言,而是真实存在的漏洞,这引起了不少“网购族”的担忧。昨日,支付宝对此做出回应称,这一漏洞确实存在,但目前已经在新版本中修复。不过,这一简短的回复并不能完全打消“网购族”的疑虑:在方便、快捷之下,高速发展的手机支付行业,能否完全保障资金安全?

   支付宝回应:漏洞已修复

  “我们目前已经对软件进行了升级,新版本已不存在问题。”昨日下午,在记者再三追问之下,支付宝相关负责人给记者发来了一句惜字如金的简短回应。

  这条回应,针对的是日前在微博和微信上着实火了一把的一条“攻略”。12月6日,网民“小警文哥”在新浪微博上发了一条微博,称iOS版支付宝手势密码有漏洞。

  配上每一个步骤的图片,他详细地解释了破解步骤:第一步,将手机调至飞行模式,关闭手机网络;第二步,打开支付宝钱包,故意输错5次手势密码,然后从后台关闭支付宝钱包程序;第三步,当你再次打开支付宝钱包时,系统就会要求重新设置手势密码;第四步,重新设置成功后,关闭飞行模式,重新联网就能顺利进入支付宝界面。

  这条“攻略”随即引发了不少“网购族”的担忧。

  “要知道,这意味着手机一旦落到别人手中,别人就可以非常简单地进入和操作你的支付宝账户。”支付宝用户刘女士表示,虽然使用支付宝进行资金操作时,大部分情况下仍需要输入密码,但也有例外情况可以被钻漏洞。

  比如说,为了支付方便,很多资深的网购消费者都在支付宝中开启了小额免密支付功能,可设置支付200元、500元、1000元、5000元和10000元。

  “若使用手机付款,每日支付的金额不大于200元,即可无需输入支付密码。”刘女士表示,这项功能虽便捷,也埋下了安全隐患。“如果手机被偷了或者丢了,哪怕对方没有你的支付密码,仅仅利用解锁漏洞就至少能花200元。

   记者实验:旧版本确存漏洞

  “真的是这样吗?这后果够严重的!”“我按照网上说的办法试了一下,果然存在漏洞。”针对这种说法,网友议论纷纷。

  根据网友提到的方法,只需支付宝账号开启小额免密支付功能,即可随意进行小额充值的消费操作,这是真的吗?前日,记者使用手机对这一说法进行印证。

  前日上午,记者使用一部iPhone5手机,在AppStore下载了支付宝APP,显示为支付宝7.6版本。登录成功后,随即设置支付宝图形手势密码,开启小额免密支付服务。

  随后,打开手机的飞行模式,并关闭网络。打开支付宝,在输入图形密码手势时故意输错5次,并双击Home键后台退出支付宝。

  照理说,连续输错5次图形密码手势,支付宝应该禁止登录。但是当记者重新打开支付宝后,支付宝却显示要求用户重新设置新图形密码的界面。记者随即重新设置新的图形手势密码。设置成功后,关闭飞行模式,并重新联网,很顺利就进入了支付宝界面。

  由于手机已开启了小额免密支付服务,即不需要密码直接支付。通过简单的操作,就成功为另一部手机充入50元话费。

  这一尝试印证了网友当时的说法,在7.6版本下的支付宝APP软件中,连续输错5次图形手势密码即可解锁支付宝。

   业内建议:首页不妨设退出键

  发现这一状况后,记者联系到支付宝负责人,对方表示,针对该漏洞目前支付宝钱包的iOS新版本已经做了发布,正等待苹果公司审核。据悉,支付宝的手势密码仅用于登录,不代表可以直接支付。若用户已设置了小额免密支付服务,发生资金盗用,也由相关的保险公司赔付。

  昨日,记者通过AppStore将手机支付宝更新为最新的“7.7版本”,再依照这5个步骤进行操作时,输入5次图形手势密码错误后,再次打开支付宝时,页面跳转到了账户登录界面。

  这说明原本的漏洞钻不了了。

  虽然这一漏洞确实很快就被支付宝方面“堵上”,但消费者心中的疑虑并没有很快消除。

  “就互联网行业来说,出现漏洞并不可怕。”通信世界网总编辑刘启诚告诉记者,以微软为例,作为目前全球最大的电脑软件提供商,Windows操作系统从Windows 95、Windows 98、Windows 2000、Windows XP直到现在推出的最新版本Windows 8都赢得了全球网民的信任,但是微软也不断出现漏洞,一直是在“漏洞中”成长发展起来的。

  “支付宝的漏洞之所以会引发这么大反应,在于它不再单纯只是一个互联网服务产品,而是和购物等内容在内的本地生活圈发生交叉。”刘启诚说道,这就使得支付宝不得不在最短时间内进行更正,更贴合用户的使用习惯。

  业内人士表示,目前不少用户使用手机支付宝时习惯直接按“Home”键来退出软件,但事实上这只是退出了当前屏幕,支付宝软件仍在后台运行。如果想要彻底退出支付宝软件,需要点击两次Home键,关闭支付宝软件。而当软件并未完全关闭的情况下再次打开支付宝界面时,用户并不需要输入用户名和密码等信息,通过手势密码就可以直接查看账户信息,这就带来了不少安全隐患。

  “针对用户的使用习惯,不妨在支付宝的手机首页上增加一个‘退出’键。”业内人士建议,这样一来用户能够直接“一键”退出,同时能起到明确提示的作用。

   小贴士

   手机莫名停机

   赶紧冻结账户

  移动互联网迅猛发展的同时,手机上绑定的越来越多的金融服务让不少人心生担忧——手机一旦丢了怎么办?

  “和支付宝绑定了的手机被别人捡到,会不会泄露机主的支付宝账户?”有市民发出疑问。业内人士表示,如果只拥有失主的手机,不知道身份证号,是无法获得支付宝密码的。但是,一旦通过某些渠道掌握了失主的身份证号,用手机号码+身份证号,只用2条短信验证,就可以重设支付宝密码。

  业内人士提醒支付宝用户,一旦遇到无端莫名的手机停机或手机卡失效时,赶紧打支付宝客服热线95188冻结你的账号,到营业厅查询原因。捆绑银行卡的市民,要将手机银行名下的账户先行挂失,以保证资金安全。换手机号也要及时将旧手机号与网银、支付宝等解除绑定。切勿向他人提供自己的网银账号、密码和动态口令,不要委托他人管理操作基金、股票、保险等资金账户。