前不久,，一則《余額寶被盜刷6萬(wàn)多元支付寶讓失主“耐心等待”》的新聞引發(fā)了筆者的密切關(guān)注，不僅僅因?yàn)楣P者也是余額寶的用戶,，更重要的一點(diǎn),，這則事件可能折射出支付寶在安全上所存在的某些漏洞，如果這些漏洞確實(shí)存在,，那么支付寶提升安全保障將刻不容緩,，否則還會(huì)有更多用戶遭遇此類事件。

　　為了將支付寶的整個(gè)安全機(jī)制搞清楚,，筆者花了幾天時(shí)間來(lái)研究,，其中分為幾個(gè)部分，一個(gè)是研究支付寶相關(guān)的安全功能,，以及它們是如何協(xié)同工作的,；另一個(gè)是根據(jù)網(wǎng)上所公布的一些信息和案例來(lái)分析，核實(shí)相關(guān)問(wèn)題,，并找到問(wèn)題的原因所在,，通過(guò)這兩個(gè)部分相結(jié)合的方式，筆者發(fā)現(xiàn)支付寶還真有很多安全問(wèn)題需要解決,。

　　1.對(duì)手機(jī)過(guò)于“依賴”而產(chǎn)生安全隱患

　　網(wǎng)上所提到的支付寶有諸如小額免密碼支付,、綁定銀行卡快捷支付等存在漏洞，這些功能確實(shí)有問(wèn)題,，但相關(guān)功能用戶也可以關(guān)閉,，這個(gè)我們待會(huì)兒再談。這里先談?wù)労芏嘤脩魺o(wú)法改變,，但確實(shí)很嚴(yán)重的一個(gè)問(wèn)題,，就是支付寶對(duì)手機(jī)過(guò)于“依賴”而產(chǎn)生安全隱患。

　　對(duì)一般用戶而言,，涉及支付寶安全的關(guān)鍵詞有如下幾個(gè)：用戶名,、登錄密碼、支付密碼,、數(shù)字證書(shū),。只要在上述幾個(gè)條件滿足的情況下，用戶就能完成支付,。對(duì)不法分子而言,，他們?nèi)绻I取用戶的支付寶賬戶，則必須解決上述幾個(gè)問(wèn)題，別以為這幾個(gè)問(wèn)題很困難,，只要用戶的手機(jī)被植入木馬,，或者手機(jī)卡被復(fù)制，不法分子就極有可能盜取用戶的支付寶賬戶,。

　　用戶名相對(duì)容易獲取，而登錄密碼,、支付密碼,，也都可以根據(jù)短信驗(yàn)證進(jìn)行修改，注銷和安裝數(shù)字證書(shū)也同樣如此,。一種情況是,，用戶的手機(jī)被植入木馬，黑客在操作過(guò)程中,，通過(guò)木馬攔截用戶短信,，獲取驗(yàn)證碼，而用戶全然不知,；還有一種情況是直接復(fù)制用戶的手機(jī)卡,，如下圖所示。

　　換言之,，只要手機(jī)被控制,，或者手機(jī)卡被復(fù)制，不法分子就有可能進(jìn)行某些設(shè)置,，比如修改密碼,、開(kāi)通無(wú)線支付、開(kāi)通余額支付等等,，通過(guò)這些手段盜竊用戶的錢(qián),。當(dāng)然，一般不法分子還會(huì)掌握用戶的身份信息,，因?yàn)樵谥Ц秾毜哪承┓?wù)中,，需要輸入身份證驗(yàn)證，但有的卻不需要,?？傊瑢?duì)手機(jī)過(guò)于“依賴”必然會(huì)產(chǎn)生極大的安全隱患,。

　　2.手機(jī)號(hào)綁定的相關(guān)問(wèn)題

　　上面提到的問(wèn)題是不更改用戶綁定到支付寶的手機(jī)號(hào)可能會(huì)產(chǎn)生的風(fēng)險(xiǎn),，還有另外一種情況，則是修改手機(jī)號(hào)綁定,，也就是說(shuō),，將原來(lái)的手機(jī)號(hào)解綁，不法分子將自己的手機(jī)號(hào)綁定上去。筆者對(duì)這個(gè)方面進(jìn)行了一定的研究,，發(fā)現(xiàn)其實(shí)不法分子要修改手機(jī)號(hào)綁定,，還是比較麻煩的。

　　由于筆者是使用郵箱來(lái)注冊(cè)支付寶賬號(hào),，筆者嘗試修改手機(jī)號(hào)綁定時(shí),，系統(tǒng)提示必須根據(jù)人工審核來(lái)完成修改，其中有以下幾個(gè)步驟,，首先是支付寶會(huì)往郵箱發(fā)送一份確認(rèn)鏈接,，然后用戶點(diǎn)擊之后，會(huì)進(jìn)入一個(gè)“自助服務(wù)”頁(yè)面,，接下來(lái)有幾個(gè)步驟,，如下圖所示,。應(yīng)該說(shuō)整個(gè)確認(rèn)過(guò)程還是相對(duì)完善,，如果用戶的信息沒(méi)有泄露,，基本上不法分子想修改綁定手機(jī)號(hào)還是蠻困難的,。不過(guò)這一系統(tǒng)仍有漏洞,，筆者在不登陸支付寶的情況下,，仍然可以訪問(wèn)支付寶所發(fā)送的確認(rèn)鏈接,，而且似乎不存在有效期問(wèn)題,，即便是三天五天之后訪問(wèn)該鏈接仍然有效,，這很令人納悶兒,。

　　而對(duì)于手機(jī)注冊(cè)用戶，問(wèn)題卻要簡(jiǎn)單一些,，因?yàn)椴缓]箱,，系統(tǒng)會(huì)提示輸入郵箱，接下來(lái),，系統(tǒng)會(huì)往郵箱發(fā)送申請(qǐng)表,，整個(gè)過(guò)程和上面的第3步相同?？梢钥闯?，手機(jī)注冊(cè)用戶安全性應(yīng)該不如郵箱用戶，不過(guò),，手機(jī)注冊(cè)用戶仍然可以添加郵箱賬號(hào)予以完善,。

　　因此，我們不太建議用戶使用手機(jī)號(hào)來(lái)注冊(cè)支付寶,，如果使用郵箱注冊(cè)支付寶,，我們也不建議大家開(kāi)通手機(jī)登陸功能。

　　3.手機(jī)錢(qián)包的安全隱患

　　再來(lái)說(shuō)支付寶手機(jī)錢(qián)包的安全隱患,，筆者最初使用支付寶手機(jī)錢(qián)包時(shí),，發(fā)現(xiàn)某些時(shí)候居然不用輸入支付密碼就能轉(zhuǎn)賬，這就是小額免密碼支付功能，雖然方便,，但確實(shí)很不安全,。尤其是，已經(jīng)有用戶在IOS系統(tǒng)上測(cè)試,，先關(guān)閉網(wǎng)絡(luò)再登陸手機(jī)支付寶,，5次劃錯(cuò)密碼手勢(shì)，后臺(tái)關(guān)閉支付寶軟件,，再次打開(kāi)就可以設(shè)置新的手勢(shì),，連上網(wǎng)后就能進(jìn)入軟件。若該賬戶設(shè)定了小額免密支付就可能存在被盜刷的風(fēng)險(xiǎn),！

　　當(dāng)然,，手機(jī)錢(qián)包的問(wèn)題還不止于此,，筆者之前開(kāi)通了每月6毛的短信校驗(yàn)服務(wù),，開(kāi)通該功能以后，每筆轉(zhuǎn)賬無(wú)論大小都必須通過(guò)短信進(jìn)行驗(yàn)證,，該功能在PC上使用并無(wú)問(wèn)題,，但在手機(jī)上卻無(wú)法使用。也就是說(shuō),，支付寶并未對(duì)手機(jī)錢(qián)包同步覆蓋該功能,。

　　這也是一大問(wèn)題，眾所周知,，支付寶對(duì)PC端轉(zhuǎn)賬進(jìn)行收費(fèi),，其目的就是為了推廣移動(dòng)端，但相比之下,，移動(dòng)端的支付寶錢(qián)包在功能,、安全性方面仍處于初期階段，未來(lái)支付寶必須加快步伐,，對(duì)移動(dòng)端進(jìn)行完善,。當(dāng)然，對(duì)于使用支付盾的用戶,，我們建議關(guān)閉無(wú)線支付,，否則安全隱患仍可能存在。

　　除開(kāi)這些問(wèn)題以外,，用戶在使用支付寶手機(jī)錢(qián)包時(shí),，仍要特別注意定期對(duì)手機(jī)查殺病毒木馬，不能隨便訪問(wèn)未知網(wǎng)站,，也不能隨便掃描二維碼,，因?yàn)檫@都可能導(dǎo)致用戶手機(jī)中病毒。

　　4.PC中木馬導(dǎo)致支付寶錢(qián)被盜

　　還有一種情況，就是PC中木馬,，導(dǎo)致支付寶錢(qián)被盜,，黑客利用木馬遠(yuǎn)程控制用戶的電腦，同時(shí)他們也可能早已經(jīng)掌握用戶的登陸密碼和支付密碼,，這時(shí)候,，他們就可以直接在用戶電腦上進(jìn)行操作。當(dāng)然,，如果用戶設(shè)置了短信驗(yàn)證等功能,，在手機(jī)未中病毒或者手機(jī)號(hào)未泄露的情況下，僅僅有這些步驟將無(wú)法完成資金盜竊,，不過(guò)這種情況仍不得不防,。

　　當(dāng)然，對(duì)大家熟悉的像小額免密碼支付功能,、快捷支付功能我們就不再贅述,，網(wǎng)上已經(jīng)講了很多了，希望大家關(guān)閉這些功能,，確保自己賬戶安全,。