通信人家园

标题: 震惊，支付宝大漏洞，手机丢失钱被刷光？（请务必设好锁屏密码） [查看完整版帖子] [打印本页]

时间: 2018-3-13 20:11

作者: 越祈 标题: 震惊，支付宝大漏洞，手机丢失钱被刷光？（请务必设好锁屏密码）

本帖最后由越祈于 2018-3-14 09:10 编辑

首先，我们先得定义前提条件：
1、用户的手机没有设置锁屏密码，或锁屏密码被他人知道，或他人盗取了亮屏未锁定情况的手机（火车站问你借手机打电话，然后刺溜就跑了的，以前见过太多了）
2、用户支付宝的设置-安全中心-指纹/手势解锁处于开启状态（一般为了账户安全，这个设置都是建议打开的，这样每次打开支付宝都需要指纹/手势解锁，但是这有漏洞，下面说）
3、用户使用完支付宝后，直接按HOME键回到桌面，并未在最近应用里清除支付宝进程（重点！！！）

===情景1===
张三偷拿了李四的手机，发现没有设置锁屏密码，手机上安装了支付宝，并且还发现最近应用（安卓按多任务键，苹果双击home键）里存在支付宝app。
此时张三点开支付宝app，会直接进到支付宝主界面，点击“付钱”弹出付款码，于是愉悦的去盗刷了李四的钱

===情景2===
张三偷拿了王五的手机，发现还是没有设置锁屏密码，手机上也安装了支付宝，最近应用里也有支付宝app。
此时张三点开支付宝app，由于王五的手机实在太破了，后台支付宝进程被清理了，于是支付宝重载，重载完成后提示输入手势密码，由于张三不知道王五的手势密码，无法进入支付宝app，资金安全

===情景3==
张三偷拿了赵六的手机，趁着还没锁屏调成了一直亮屏，打开了支付宝，手机上安装了支付宝，并且还发现最近应用（安卓按多任务键，苹果双击home键）里存在支付宝app。
但是赵六开了miui应用锁，需要手势密码，无法进入支付宝app，资金安全

时间: 2018-3-13 20:30

作者: 掌心化雪2

都有保险的。超市收银台都有摄像头，你去超市刷？

时间: 2018-3-13 20:32

作者: 越祈

掌心化雪2 发表于 2018-3-13 20:30
都有保险的。超市收银台都有摄像头，你去超市刷？

有别有用心的会乔装打扮，调查需要一定时间

所以还是建议支付宝用完后，把最近任务里的支付宝给清了，或者直接上个miui应用锁或类似的UI自带锁定

时间: 2018-3-13 20:41

作者: sc67

支付宝那个条码是不用密码的，很不安全。

时间: 2018-3-13 20:48

作者: scnc001

很早之前我就说过，把安全最关键的一环建立在没有安全义务的一方，让其承担责任，是有问题的

时间: 2018-3-13 20:48

作者: 4409070

那个我都没开,开通要支付密码

时间: 2018-3-13 21:00

作者: MuJian

掌心化雪2 发表于 2018-3-13 20:30
都有保险的。超市收银台都有摄像头，你去超市刷？

支付宝熟人盗不保吧？看到有个案例报道把手机卖了，被手机买家盗刷，也是不保，最后我记的是卖家各种投诉，逼的支付宝协助（威胁）买家，然后买家妥协了，把钱打回给卖家。保险这玩意自己认为真的不靠谱，还是自己注意防范。

时间: 2018-3-13 21:18

作者: JDF2008

不用支付宝，我用微信支付，从不留余额，都是从绑定的银行卡扣钱，银行卡最多100-200余额。
用完了再通过网银转账200块。就这样

时间: 2018-3-13 21:30

作者: 虚拟语气

手势密码也不安全，路边小店分分钟破解。
好点的是绑定卡不要放太多钱，然后每次安全退出，开通刷脸才能登录。
图方便的话，手机银行临时转账到绑定卡上，手机银行也用刷脸锁卡，这是发现的最安全之道。
楼下有更安全的接着补充。

时间: 2018-3-13 21:39

作者: ccet12345

这些被盗刷的都有一个前提就是没有设置锁屏密码就好像说你家里面没有锁门，然后钱被偷了一样。

时间: 2018-3-13 21:39

作者: 无惧风雨

我不知道付钱码会不会像银联的联机闪付那样在免密闪付时设定一个消费限额（单笔xxx元单日累计xxxx元）否则就需要验证（密码，指纹，手势）？起码在保险不保的前提下可以减少损失。

时间: 2018-3-13 21:41

作者: 流星是石头

付款码不用密码是有个前提吧：开通免密支付

时间: 2018-3-13 22:16

作者: fitnig

最有效的方法，支付宝和绑定的淫行卡里都没钱，告诉你密码都没用，手动滑稽

时间: 2018-3-13 22:21

作者: SandyTo

设置了应用锁

时间: 2018-3-13 23:04

作者: 掌心化雪2

MuJian 发表于 2018-3-13 21:00
支付宝熟人盗不保吧？看到有个案例报道把手机卖了，被手机买家盗刷，也是不保，最后我记的是卖家各种投诉 ...

那个案例是因为手机没有关闭同步，买家同步后，有支付宝在里面。
熟人盗更好找啊。

时间: 2018-3-13 23:07

作者: 掌心化雪2

无惧风雨发表于 2018-3-13 21:39
我不知道付钱码会不会像银联的联机闪付那样在免密闪付时设定一个消费限额（单笔xxx元单日累计xxxx元）否则就 ...

额度我不清楚，大概几百块，之后就要支付密码了。

时间: 2018-3-13 23:07

作者: 掌心化雪2

越祈发表于 2018-3-13 20:32
有别有用心的会乔装打扮，调查需要一定时间

所以还是建议支付宝用完后，把最近任务里的支付宝给清了， ...

几百块这样折腾，不如去干几天临时工。

时间: 2018-3-14 00:56

作者: power_lau

操，吓到我了。
该如何是好？

时间: 2018-3-14 07:52

作者: wwqgtxx

"用户使用完支付宝后，直接按HOME键回到桌面，并未在最近应用里清除支付宝进程"这种情况一般在后台超过5分钟就会强行要求重新验证指纹的，并不一定要后台被清除的时候才会

时间: 2018-3-14 08:12

作者: 越祈

无惧风雨发表于 2018-3-13 21:39
我不知道付钱码会不会像银联的联机闪付那样在免密闪付时设定一个消费限额（单笔xxx元单日累计xxxx元）否则就 ...

限额2000元

时间: 2018-3-14 08:16

作者: 越祈

ccet12345 发表于 2018-3-13 21:39
这些被盗刷的都有一个前提就是没有设置锁屏密码就好像说你家里面没有锁门，然后钱被偷了一样。

其实上多数表现是，设置了锁屏密码，但是没有及时锁屏

比如图书馆复习上厕所，手机丢在桌面上，1分钟后才锁屏，而这1分钟内被偷拿并且把自动锁定设成永不

再比如地铁上玩手机，手机被抢

时间: 2018-3-14 08:18

作者: 越祈

流星是石头发表于 2018-3-13 21:41
付款码不用密码是有个前提吧：开通免密支付

免密支付和付款码是相互独立的

时间: 2018-3-14 09:07

作者: it1010

小心被按散播未經證實內容關小屋子哦

时间: 2018-3-14 09:09

作者: 越祈

it1010 发表于 2018-3-14 09:07
小心被按散播未經證實內容關小屋子哦

你可以自己去拿个手机，按我的条件去测下，如果是地铁上被抢了手机而后台还开着支付宝的这种情况，确实保不了

有人说可能后台放久了会重新需要密码，这个没试过是多少分钟

时间: 2018-3-14 09:49

作者: 流星是石头

越祈发表于 2018-3-14 08:18
免密支付和付款码是相互独立的

我是活雷锋，不用谢我
微信图片_20180314094817.jpg

附件: 微信图片_20180314094817.jpg (2018-3-14 09:49, 42.61 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=MzQ4MTQzfGUzY2EwZmY5fDE3NTUwMTAyOTZ8MHww

时间: 2018-3-14 09:56

作者: vvo

JDF2008 发表于 2018-3-13 21:18
不用支付宝，我用微信支付，从不留余额，都是从绑定的银行卡扣钱，银行卡最多100-200余额。
用完了再通过网 ...

和我差不多

时间: 2018-3-14 16:30

作者: whoami2004

本帖最后由 whoami2004 于 2018-3-14 16:30 编辑

有点搞笑吧..自己把门全开了,然后被偷了,喊门不起作用,还有这操作??

时间: 2018-3-14 16:46

作者: 越祈

whoami2004 发表于 2018-3-14 16:30
有点搞笑吧..自己把门全开了,然后被偷了喊门不起作用,还有这操作??

这里主要讨论的是支付宝的这层面的

如果你把支付宝比作保险柜，手机本身的安全工具比作放保险柜的房间。那么你就明白了我要表达的意思：“这个保险柜的锁有缺陷可以被撬开，并不能保证里面的钱是安全的，所以你需要把放保险柜的房间给锁起来，提高安全性。”

现在很多人的观念就是，反正我有了保险柜了，那么放保险柜的房间锁不锁没关系，这种想法要不得

时间: 2018-3-14 16:48

作者: 越祈

流星是石头发表于 2018-3-14 09:49
我是活雷锋，不用谢我

这个关掉了你就直接失去了付款码功能，并不是说给付款码上密码

所以我个人建议是，不用支付宝把后台清了，锁屏密码一定要设好

时间: 2018-3-14 16:51

作者: whoami2004

越祈发表于 2018-3-14 16:46
这里主要讨论的是支付宝的这层面的

如果你把支付宝比作保险柜，手机本身的安全工具比作放保险柜的房间 ...

安全靠自己,自己不靠谱,啥也没用

时间: 2018-3-14 16:57

作者: chenshengqu

看来支付宝不能放太多钱，太不安全了

时间: 2018-3-14 17:19

作者: tang1227

楼主的一个关键点是，要用应用锁，现在国内安卓厂商好像都有这一功能

时间: 2018-3-14 17:21

作者: 越祈

tang1227 发表于 2018-3-14 17:19
楼主的一个关键点是，要用应用锁，现在国内安卓厂商好像都有这一功能

是的，还有就是用完支付宝后把后台清了，苹果也一样，暂时不用手机的时候建议及时关屏。另外避免手机放桌上人走开的情况（学校图书馆经常见到这种，人走开去拿书，手机丢在桌上还亮着屏有些还微信聊天摆着）

时间: 2018-3-14 17:23

作者: 越祈

whoami2004 发表于 2018-3-14 16:51
安全靠自己,自己不靠谱,啥也没用

是的，自己要有点安全意识，不要指望支付宝完全包办，保险也有拒赔的时候（手机放桌上被舍友拿去刷钱的这种算熟人作案，保险似乎是不支持赔偿的）

时间: 2018-3-15 20:08

作者: it1010

越祈发表于 2018-3-14 09:09
你可以自己去拿个手机，按我的条件去测下，如果是地铁上被抢了手机而后台还开着支付宝的这种情况，确实保 ...

支付宝和微信都好像有个免密支付可以关闭的，另外目前很多手机系统都可以单一APP设置密码或指纹锁应用。

时间: 2018-3-15 23:00

作者: 越祈

it1010 发表于 2018-3-15 20:08
支付宝和微信都好像有个免密支付可以关闭的，另外目前很多手机系统都可以单一APP设置密码或指纹锁应用。

支付宝那个免密支付和付款码不相关的，但是付款码功能可以关闭

手机UI本身的应用锁我是建议给敏感应用锁一下的，多一重保险，反正解锁不麻烦

时间: 2018-5-5 12:55

作者: LXKKK

不开通免密支付，每次支付都要输支付密码的飘过

时间: 2018-5-5 13:04

作者: 越祈

LXKKK 发表于 2018-5-5 12:55
不开通免密支付，每次支付都要输支付密码的飘过

付款码自带免密，另外这个漏洞最近几次的支付宝更新后已经修复了

通信人家园 (https://www.txrjy.com/)