自己的手机登录支付宝就安全？实验表明验证短信会被拦截
作者:华商网
用自己的手机登录支付宝就安全？实验：验证短信会被拦截
华商报4月23日见报的《买上万手机号 改支付宝密码 盗23.8万元》，引起大家对第三方网络支付平台安全性的关注。不法分子之所以能通过网络进行盗窃，除了购买了大量手机用户号码和电信网上服务平台登录密码，关键是采用了拦截支付宝短信验证码的方法。
所有第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，甚至可以立即重置重要的登录或支付密码。那么，短信验证码究竟能否当此大任？23日，西安电子科技大学的三位硕士研究生和华商报记者一起做了一个实验。
&&实验验证
恶意程序盗取短信验证码，难吗？
实验时间：日16：00~17：00
实验地点：华商报社二楼
实验人员：西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏，华商报记者
实验顾问：西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华
为了做这次实验，三位硕士研究生使用了一个特殊的安卓手机软件，这是一个恶意程序，起名&钓鱼攻击&。
实验模拟的情境是，李鑫使用的一部安卓手机已中招，恶意程序一直在后台运行。该软件预先设置的黑客手机号码，是一起做实验的华商报记者的一部手机。
实验开始，李鑫打开手机&支付宝&进行登录。而实际上，他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到，所以输入的账号、登录密码都是真的。
就在李鑫登录&支付宝&的瞬间，华商报记者的手机收到了一条短信，内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的华商报记者，此时立即打开自己手机上真正的支付宝应用，输入短信中的用户名和密码，完全可以登录并使用李鑫的支付宝账户。
如果黑客使用支付宝过程中，需要短信验证码怎么办？这个验证码，支付宝可不会直接发给黑客。
别急，按照程序设计，中毒手机在使用支付宝的过程中，只要收到含有&支付宝&三个字的短信，就会自动把短信内容转发给黑客手机。
为验证这一点，王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时，华商报记者的手机就收到了同一条短信。如果这就是黑客需要的验证码，后果可想而知。重置密码、改绑手机，凡是黑客在操作中需要填短信验证码的环节，中毒手机都会自动在需要的时候通过短信转发过来。所以，几分钟甚至几十秒这样的时间限制，并不是问题。
就这么一个小小的程序，不但破解了支付宝账户名和登录密码，而且在操作中凡是需要短信验证码的时候，都会自动发给黑客。让华商报记者看得目瞪口呆。
李鑫说，为研究如何加强安卓系统防木马和钓鱼软件的功能，他们设计了一个新的安卓操作系统。为验证该系统防护性能，才专门制作了这样的&钓鱼攻击&软件。其实这样的钓鱼软件并不罕见，甚至在淘宝上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑，或者伪装成游戏挂件等，用户很难辨别真假。一旦安装并运行了这样的软件，不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客，有些软件还会让用户无法收到支付宝发来的短信。
&&实验总结
仅靠短信验证 无法确保支付安全
西安电子科技大学计算机学院博士、副教授杨超介绍，传统的银行账户实行实名强验证，也就是本人拿着身份证去当面验证，必要时输入验证密码。网络支付方式为突出便利性，降低了验证门槛，一般采取密码验证和短信验证相结合的方式，被称为&双因子验证&。但现在出现了两个问题：一是手机短信验证用过头了，被当做主要验证方式，用它可以去重置登录密码或支付密码，也就是说用短信验证去否决密码验证，这样的设计是不合适的。二是手机短信验证有天然缺陷，在传播过程中可以被截获，实验也说明了这样的问题。所以，短信验证码是不能单独担当主要验证权限大任的。
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
支付宝短信验证
支付宝安全吗
支付宝登录密码
相关的资讯有：
支付宝短信验证
支付宝安全吗
支付宝登录密码
相关的博文有：
日前LG在拉丁美洲推出了LG G5的简配版——LG G5 Variant，这款手机在外形上与LG G5基...
虚拟现实正在走向大众，但是，它是否会影响使用者的身心健康？这仍然是未知数。目前，...
HTC旗下的旗舰手机HTC 10最近被多次曝光，硬件方面已经差不多都知道了，但一些细节没...
小米公司联合创始人、总裁林斌近日出席了“小米之家”五彩城店的开业剪彩仪式，这是小...
不同于中关村，深圳的华强北依然火热。专注于自己的领域，踏踏实实挣钱，是很多深圳电...
北京时间3月21日消息，为了向苹果下一代iPhone提供OLED显示屏，全球主要的显示屏面板...
去年3月，联想发布了乐檬K3 Note手机，它被认为是联想阵营拼杀小米红米系列、魅族魅蓝...
2016年初，Intel发布商业版Skylake六代酷睿处理器的时候，微软突然做出了一个令人难以...
知道什么事情最浪费时间和生命吗？不是吃饭不是睡觉，更不是上厕所，而是排队！去银行...
本作由任天堂与DeNA联手制作，游戏的玩法与3DS上的休闲游戏《朋友收藏集》类似。......
自上次刷竞技场排名之后，又出现某某助手可以窥视敌方圣水以及自动开箱。......
《浪漫沙加2》最早在1993年推出，后于2010年曾经推出过手机重置版，而本作则是重制了2......
本作是由一个新时代的团队 Creator 所制作，整个团队的平均年龄只有 21 岁。......
Copyright (C)
All rights reserved.
京公网安备号
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请简单游戏 快乐生活
全国门店目录
您当前的位置：
>> >> >>正文
支付宝设备管理的手机授权会影响账户安全吗？
编辑：马涛
来源：新浪科技
发布时间： 9:42:41
　　相信支付宝已经成了不少智能手机用户的必备应用了，不过最近网传的一则安全提醒受到网友的广泛关注，内容为提醒大家换手机时要通过支付宝“安全中心-设备管理”取消对旧手机的授权，否则账户容易被别人登录。针对此事，支付宝官微做出回应，提示用户不用担心，那个按钮关不关掉，都不会影响支付宝账户的安全。
　　支付宝方面表示，为保证跨设备的安全性，支付宝App实施了单点登录技术，用户在新设备登录时需输入密码，同时老设备上的账户会自动退出登录。如果老设备机组使用支付宝需要重新输入登录密码。是否从设备管理界面删除老设备并不影响支付宝的安全性。
关注安卓中文网官方微信
扫描左侧二维码即可添加安卓中文网官方微信
您也可以在微信上搜索“安卓中文网”或“anzhuozww”，获取更多数码资讯
24小时热点编辑实测：手机丢失支付宝钱包安全吗?
近期网络有传言声称，“手机如果丢失，用户手机中支付宝钱包中的款项会被盗取”，一时间引起了很多人的恐慌。手机一旦意外丢失，手机支付宝钱包是否足够安全成为近期人们热议的一个话题。
手机丢失支付宝钱包安全吗？
2014年，手机支付真正走进了我们的生活，现在大家使用最多的应该就是&支付宝钱包&了。支付宝钱包除了拥有为淘宝消费进行支付的功能外，还加入了信用卡还款、缴纳水电煤气费、手机话费充值的功能，一部手机在手，各种支付全部搞定。
近期网络有传言声称，&手机如果丢失，用户手机中支付宝钱包中的款项会被盗取&，一时间引起了很多人的恐慌。手机一旦意外丢失，手机支付宝钱包是否足够安全成为近期人们热议的一个话题。
手机丢失你的支付宝钱包安全吗？
俗话说&事实胜于雄辩&。虽然这个传言仔细一想并不能经得起推敲，但我们还是决定亲自测试一下。假如一台装有支付宝钱包的手机丢失了，我们账户中的钱是否足够安全？
手机丢失我的&钱包&你能用吗？
我们来假设一种场景， 编辑因为粗心大意，iPhone 5s意外丢失，恰巧偷手机的贼对支付宝钱包还比较了解，心想着可以借此大发一笔了，我们假设手机没有设置指纹密码和数字密码，聪明的贼是否能够盗用支付宝钱包成功呢？
iPhone 5s被窃
为了保障使用安全，支付宝钱包在初次使用时都需要设置手势密码，这和安卓系统手机的锁屏密码类似。如果没有设置太大众的图形，基本这关就可以把偷手机的贼难倒。
开始破解支付宝钱包
图形解锁失败
偷到的手机，我们可以轻松获知手机号码，可单凭手机号就能破解密码，进行消费了吗？
图形解锁无效 开始用其他方式解锁
输入手机号 找回密码
输入验证码 等待奇迹的发生
找回密码需要身份证验证 这下傻眼了
通过手机号找回密码除了验证码，还需要知道身份证号，只要没有背到手机和身份证同时丢失，支付宝钱包还是安全的，小偷想借机发一笔的想法要破灭了。
&支付宝钱包安全如此严密，气愤呀！&
如果用手机找回密码不成功还不死心，想在网页上再试试运气的话，通过网页找回密码除了需要输入身份证号外，还需要回答用户预先设置的三个问题，想要知道全部这些问题的答案的话，几乎是不可能。
连续输入密码不正确次数太多 账号会被锁定
我们再来做一个假设，假如用户实在太粗心大意，解锁密码不幸被小偷猜中，或者手机中恰巧保存了机主身份证资料，那是否就&杯具&了呢？
交易前还需要输入支付密码
其实支付宝钱包在每次交易前，还需要填写一个支付密码才能成功交易，只要用户设置了不同的密码，那么还是能在最后一关保住自己的财产。所以，由此看来，即便手机丢失，单靠手机号码是无法消费支付宝钱包中款项的。
支付宝：&你敢付，我敢赔&
通过上面的实际测试，传言的真伪不攻自破。对此事件，我们也在第一时间与支付宝公司技术人员取得了沟通。支付宝技术人员对此事作出了官方的解释：
早在日、日就通过支付宝官方微博进行过详细说明。支付宝的安全是一整套的风险防控体系，其中7&24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别，对不同风险级别的操作会要求不同的安全校验。如果真有别人捡到你的手机，想在别的电脑上找回你的支付宝密码，他一定需要&手机校验码+身份证信息&等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回你的密码。我们的实测也验证了这种说法的正确性。
手机账户保护
此外，支付宝在2003年就打出了&你敢付，我敢赔&的口号。支付宝为每一位用户都免费投保一份平安保险，如果用户的支付宝资金（余额宝、余额和快捷支付）被盗都可以获得平安保险的全额赔付，保证用户的使用安全。
多项安全机制保护账户安全
支付宝提供严密的安全保护措施
支付宝提供的安全建议
在这里我们也还是倡议大家要冷静思考，不要人云亦云，轻易相信谣言，亲自动手测试一下就能够分辨出传言的真假。
猜你感兴趣
最新图文推荐
大家感兴趣的内容
网友热评的文章手机支付宝钱包安全吗？
一直觉得手机在安全方面比不上电脑，那支付宝是如何保障手机用户的财产安全的？而且在安装软件的时候提示支付宝钱包可以读取用户的短信、通话内容、实时位置等信息，会不会造成隐私泄露？如果10分是满分的话，你们给它的安全性能打多少分？
按投票排序
安全是个很大的话题，其实对普通用户来说就是个“安全感”问题。首先，我能肯定的是，手机在安全性上完胜电脑。至于“手机木马”，呵呵，那些中招的肯定账户早就“祼奔”了......而且，就目前而言，所谓的“木马”就干一件事情，未经你允许的情况下对你的短信做手脚，当然主要在Android上。然后，关于支付宝钱包的权限问题--短信模块的权限是为了注册时的上行短信及要求短信校验时帮用户填验证码；--通话内容，当面付用到声波功能，那肯定得有麦克风和听筒权限了；--实时位置信息，我们里面有个查看银行网点功能，那当然得知道你在哪里了，然后就是交易环节的监控，不要幻想支付宝会实时监控你，几亿用户啊亲，这个数据量太大，也不是有钱就能搞得定的所以，不用操心你的隐私，我们只关心你的钱是否安全。最后，我们的赔付保障不是口号。
手机支付宝的安全等级比电脑上下降了一个等级是不争的事实。电脑上可以说是2 factor认证（密码+短信），而手机则仅有“单要素” 或 “没有”认证（只有密码认证，短信和宝令都可以直接看见，这就不能称为认证了；并且通过短信可以重置密码，这就算没有认证了。）。要是手机丢了，如果你没开“用手机号码登录”，恭喜你，别人还要猜下你的登录名。如果你开了，就是裸奔，直接重置登录密码，重置支付密码（需身份证号，但有心也不难）。手机支付宝用户能做的：一定要加手机解锁密码，锁定时间缩短。（手势密码什么的，就算了，看看屏幕油渍就能解。）取消“手机号码登录”，这个相当于账户名，要让别人也猜下。手机丢失要及时发现，及时挂失。
我接着 ZhouJJ，的说现在取消“手机号码登录”也不行，这是信息泛滥的时代，快递、餐饮、网购、体检、医院、小区物业，甚至一个什么随便的销售什么的 你要使用都得留号码，根据号码知道你是谁，是一个再简单不过的事情。有人名，有电话，买张快递单 不就有你的登陆名了（PS：据说完整使用过的快递单1块钱一张呢）。接下来的事就简单多了。目前的忘记密码选项，你们用过吗？找回密码：“手机校验码+证件号码的方式”、“通过安全保护问题”、“通过人工服务”。直接第一个，ok。你能告诉我，你们是怎么安全的吗？
可以用一些移动应用安全检测平台，一般都会做以下三种方式进行检测：静态分析： 利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译，并对反编译后的java文件、xml文件等文件静态扫描分析，通过关键词搜索等静态方式将具有安全隐患的代码进行摘录并存入到检测平台后台，为后续的安全检测报告提供数据依据。动态分析：对应用软件安装、运行过程的行为监测和分析。检测的方式包括沙箱模型和虚拟机方式。虚拟机方式通过建立与Android手机终端软件运行环境几乎一样的虚拟执行环境，手机应用软件在其中独立运行，从外界观察应用程序的执行过程和动态，进而记录应用程序可能表现出来的恶意行为。人工检测： 专业安全人员对待检测应用，对其进行安装、运行和试用，通过在试用过程中，逐步掌握应用的特点，并通过专业经验，来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时，兼顾侧重点检测，给予应用更全面、更专业、更贴合应用的量身打造的检测服务。比如就有爱内测：
我觉得要看平台，比如ios的沙河机制就能抵御这样的风险
现在通信发达，任何硬件软件都会黑，你有黑的价值吗？
昨天听说出现了一种新型犯罪手段，可以截住你的短信和电话。意思是通过电话查到你的账号后（怎么查不是很清楚待我详细了解后再补充），你的手机还在你的手上但是别人用复制的手机号进入你的支付宝，反馈回来的短信是不会传到你的手机上的！
目前手机端的支付宝钱包极其不安全，只要是手机号码作为用户名，钱全部被贼拿走妥妥的，所有密码仅靠短信验证，根本没有银行的U盾双重验证。
已有帐号？
社交帐号登录
无法登录？
社交帐号登录　　我最近开了这两个，觉得这两个东西好坑爹啊，如果手机掉了，进手机银行只要一个简单的密码就可以进了，支付宝也一样，就一个简单的手势输入就可能进入了，不过支付还是要密码的，最坑爹的是支付宝里的交易信息把个人的名字跟账号都明文显示在上面，虽然我没有绑银行卡在支付宝上面，这样一来，别人就知道我的银行卡号，姓名，就差个身份证号不知道了，如果身份证号知道了，就可以开支付宝的快捷支付，把我银行卡号里的钱全转走了。总之来说，这两样东西都是坑爹货，还是网上交易安全些，至少要用短信，还有U盾什么的加一层隔离认证，别人在网上把我帐户密码偷了也没多大用。
楼主发言：9次 发图：0张
　　没有人关注吗，难道你们都不用网银买东西
　　关于我主帖的那个，如果手机掉了，支付宝的手势解锁很容易通过，支付宝的手势密码看起来很威猛，但其实是个纸老虎，很容易就能绕过。我最先想到的方法是把支付宝客户端卸载了重新安装，然后通过淘宝客户端的一键切换跳转过去，这个大家可能都能想到。如果机器没有安装淘宝客户端，或者淘宝客户端没有登录怎么办?办法还是卸载支付宝客户端，然后重新安装。支付宝卸载并没有删除账号信息，重新安装后还可以使用，这样就绕过了手势密码。然后就进入了我的支付宝
　　我也是，但是用起很方便啊，而且手机绑定的，换密码就只需要用手机，，手机掉了就全部完了，首先得去报失卡，不过上面钱全部都没了，这个怎么办呢？　　
　　进入我的支付宝之后，我的交易信息都是明文保存的，只差个身份证信息就可以开快捷支付转走钱了，如果有了机主的手机，找到身份证号也不是个多难的事如短信、手机邮件、图片扫描件，通过其他系统如12306这个除公安系统外最大的个人信息库，假如你登录12306的账号是手机邮箱，那对不起。有了手机可以进入手机邮箱，也可以进入12306看到你的身份证号码。或者稍微来点手段，比如：捡到手机后，等着机主来电话。电话来了，就说“你是机主吗，终于来电话了，刚才有个人要冒认，还好我机智。我在某某地等你，穿蓝衣服，你手机好像要没有电了，对了你把你身份证号码告诉我，我怕被人冒认，一会没电了我无法和你确认”失主着急的情况很有可能就告诉你了。如果小偷了解这个手段，可能偷了手机还能再捞一笔。
　　@张玉喧 3楼
00:33:57　　我也是，但是用起很方便啊，而且手机绑定的，换密码就只需要用手机，，手机掉了就全部完了，首先得去报失卡，不过上面钱全部都没了，这个怎么办呢？　　-----------------------------　　如果我捡到你的装有支付宝的手机，估计用不了几分钟就可以把你的钱全转走，顺便把你相关的银行卡的都可以转走
　　你的头像好吓人555555　　
　　@借我半扇窗 6楼
00:49:24　　你的头像好吓人555555　　-----------------------------　　哈哈
　　所以支付宝的漏洞太大了，大家一定不要用它啊，赶快把它关了
　　别外，手机银行也是一个坑爹货，只要别人知道了你的手机号跟你的银行卡号，分分钟就可以把你的钱全转走了，网上一些新闻就是复制了别人的手机号然后就用手机银行把钱全转走了，相对来说，网上银行还是安全些，至少有U盾跟手机隔离认证，现在的二代U盾就算别人控制了你的电脑也无法完成转帐的，因为要还要通过U盾上的一次信息物理确认。所以只要是手机上的客户端都很坑爹，网上银行好一些，最安全的是开一个什么业务也不开的卡，只存钱取钱，不泄漏银行卡信息跟密码就没事了。最后 大家 一定要注意了，如果有大额现金一定不要开跟手机有关的业务，网上银行最好也没开，只开最基本的存钱取钱业务，就算最安全的了。
　　为毛没有人理我
　　建议你用中国银联刚推出的一款手机支付软件--掌钱，非常安全的，而且跨行跨地域转账、信用卡转账零手续费的！　　
　　关于支付 宝安全问题，我也写了一篇，欢迎指正。　　　　也谈支付宝与手机绑定的安全性问题
　　支付宝里只有不到一百块 购物的时候充值 没绑定银行卡 名字及其大众 没有身份证 你看我安全不 　　
　　安全的，放心用　　
　　我支付宝用多少钱才转多少钱进去　　
　　听着觉得好担心　　
　　现在很多的人都有支付宝，而且为了方便会绑定一个手机，这个不管是支付还是账号变动的时候都可以有短信提醒，如果绑定支付宝的手机丢了怎么办？　　绑定支付宝的手机丢了怎么办　　1.首先我们登陆淘宝，在左上方有一个我们的账号信息，把鼠标放在账号信息上后，可以看到一个账号管理，点击它。　　2.然后在跳出的界面中点击，安全设置，在屏幕的偏左上方有一个解绑手机，点击解绑手机。　　3.在跳出的界面中选择立即解绑，由于手机已经丢失，所以我们手机已经丢失了，所以不能收取短信的验证码，需要点击提交申请单。　　4.在新跳出的页面中，我们可以看到很多的东西，其实就是拍摄一下身份证，按照上面的要求来填写，然后提交等审核即可。　　5.其实还有一个比较简单的方法，手机丢了而已，我们只需要到手机卡的办理厅，提供一些证明文件，我们的手机号码还是能用的。这样就不用这么麻烦了。
请遵守言论规则，不得违反国家法律法规}