在网络购物已经成为生活一部分的今天,在手机里装个支付宝钱包,出门买东西扫二维码支付已经是家常便饭了。然而就在近日,当你听话地按提示更新了你的支付宝为“支付宝9.0”(以下简称9.0),突然发现有些奇怪的东西混进去了……
众所周知,在支付宝新升级的9.0版本中取消了用户手势密码的设置,转变为“大数据风控”保护。如果用户手机不具备指纹解锁功能,那么在其手机上支付宝账户可以直接被访问。
这个修改遭到了不少网友的吐槽和质疑,很多人担心会因此泄露自己的淘宝购买记录和日常生活消费记录,同时还有人担心这样会增加熟人作案的风险,一旦有人拿到了你的手机,通过小额支付功能便可以转走或者消费一部分钱。
当然支付宝也有自己的说法,支付宝称自己通过多年积攒的大数据来通过用户行为分析进行身份认证,当不是本人在使用时,支付宝可以通过细小的行为习惯上的区别来判断。
然而这个宣称“甚至每一次敲击屏幕都是安全考验”的安全体系貌似并没有那么神。在昨天中午,FreeBuf创始人pnig0s在微博吐槽,支付宝9.0的重置密码功能存在逻辑问题,只需要知道用户身份证号便可以重置其登录密码,并且称朋友圈里一票人的密码都被重置了。
小编立刻进行了验证,小编选择了一个关系较好的大学同学的支付宝,在登录界面点击“登录遇到问题”,输入其支付宝账号
这时系统会显示已经将校验码发送到手机上,我们点击下面的“无法接收短信”,然后弹出来了一个网页,让小编选择哪几个是认识的朋友,看到这里小编真的笑出来了,这安全做的脑洞确实有点大,如果和那人比较熟悉应该都可以轻松选出来。
