过去没注意,今天无意间发现银行在支付宝快捷支付授权流程中存在很大的风险隐患漏洞

Discussion in 'Quantum and Mind' started by wj2000, Jun 26, 2014.

Page 2 of 2
  1. wj2000

    wj2000

    只想静静的解决问题,不想热闹(天涯或者知乎乱哄哄的唯恐不乱的:D:p),因为“窃贼”比公众更敏感和好学:D:p,别没解决问题反而更多的客户受害就违反初衷了。
     
    wj2000, Sep 2, 2014
    #21
  2. shane_lee

    shane_lee

    wj说的“法律漏洞”是指:银行没有客户授权就放行交易吗?这个目前银行的普遍做法是与支付宝有一个双方协议,如果客户索赔银行,支付宝照赔银行。尽管这样做,银行其实是违规的(未经客户事先许可放行交易),但行业里已经成风了,监管部门也睁一只眼闭一只眼。比较谨慎的银行的做法是:要求支付宝快捷支付协议里挂一个客户与银行间的协议,两个协议在开通快捷支付时同时生效。
    大概知道的就这些,希望有帮助。
     
    shane_lee, Sep 8, 2014
    #22
  3. wj2000

    wj2000

    cctv 《消费主张》昨天2015年1月13日再次播放了,既然电视里已经披露,我就不再“避讳”了,漏洞就是第3方平台的获得银行的快捷支付授权时只需要验证用户的“银行卡号、身份证号、捆绑手机号码”,并不需要验证最关键的“用户银行支付密码”,而获得用户“银行卡号、身份证号、捆绑手机号码”等信息是很容易也很正常的,而获取手机号码的“验证码”是有不少手段的(偷看、木马获取等),而一旦获得上面那些信息(不需要用户银行的支付密码)就可以在第3方支付平台开通一个获得授权的“快捷支付”,开通“快捷支付”后就不需要再截取你的手机动态密码了(因为第3方快捷支付平台里留的手机号可以是其他的和银行卡绑定手机号码不同的),那你银行卡里的钱就随便别人取用了。:D:p
    这个授权过程验证“漏洞”很难防的,除非银行和监管部分对授权流程进行纠错!

    这个授权过程“漏洞”的责任完全在银行体系方面,或者可能是央行那个“超级网银”的责任!

    另外,还有一个更危险的“漏洞”来自“电话银行接口”!:D:p

    下面的地址是cctv相关节目的视频。
    http://tv.cntv.cn/video/C11350/a2a11644c1644bc6a4116027e2a16144
    《消费主张》 20150113 2014,手机病毒你中招了吗?
    本期节目主要内容: 如今智能手机带给人们不同的消费体验,可是如今手机预装恶意软件猖獗,手机木马随时会上演“窃听风云”。越来越多的黑客利用移动支付类木马病毒远程操控我们的手机,进一步转走银行里的钱财。 (《消费主张》 20150113 2014,手机病毒你中招了吗?)
     
    wj2000, Jan 14, 2015
    #23
  4. demon007

    demon007

    这个手机号必须是你留在银行的手机号。
    你改三方支付平台是没有用的。
     
    demon007, Jan 15, 2015
    #24
  5. wj2000

    wj2000

    好像可以的,授权的那次是银行预留的手机号,授权完成后你第3方支付的可以是另外一个手机号码的,之后快捷支付如果你开通手机动态验证的话也是由第3方支付平台给你发手机动态验证码的,而不是由银行给你发验证码。
     
    Last edited by a moderator: Jan 19, 2015
    wj2000, Jan 15, 2015
    #25
  6. demon007

    demon007

    嗯,现在有些银行回收这个权限了。慢慢的不会让第三方平台发短信。
     
    demon007, Jan 19, 2015
    #26
  7. wj2000

    wj2000

    隔了那么长时间才有所谓的“安全公司”针对这个漏洞来“实践”。这个还不是最危险的,“电话”接口更危险,好在“电话接口”只针对信用卡有效。:D:p

    http://www.paynews.net/article-28843-1.html
    记者实操微信支付漏洞3分钟转走银行卡余额 快捷支付可绕开卡密码
    2015-1-21 08:47 | 来自: 半岛晨报

    摘要:
    绑定时,微信会要求设定支付密码。记者在对方手机微信内设置了支付密码。记者在对方微信通讯录内找到了自己的微信账号,点击转账。记者把刚才设置的支付密码输入一遍后,系统显示转账成功,转账金额为1元钱。很快, ...
    你所不知道的随行付
      如果你去餐馆吃饭,把手机和钱包放在座位上,而钱包里有身份证和银行卡。在不知道银行卡密码的情况下,只要3分钟时间,坏人就能把你银行卡里的钱转走。听到这个消息,你会吃惊吗?这绝非耸人听闻,上述情况是记者亲身体验确认证实的,体验是在360手机安全专家指导下进行的。对于手机微信支付的安全隐患,本报予以独家披露。

      绕开密码3分钟转走卡里钱

      本次体验采访假定的情节是,记者拿到了陌生人未保管好的手机和钱包,钱包里有身份证和银行卡,且银行卡预留手机号为本机号码。

      记者登录微信后,使用自己和对方手机将两人加为微信好友。

      记者使用对方手机,进入微信支付“钱包”界面,将对方手机微信账号和对方的银行卡绑定。绑定前,记者需要填写对方的银行卡卡号。对方手机收到系统发来的短信验证码后,记者按提示把验证码输入到微信操作界面,显示绑定成功。

      绑定时,微信会要求设定支付密码。记者在对方手机微信内设置了支付密码。记者在对方微信通讯录内找到了自己的微信账号,点击转账。记者把刚才设置的支付密码输入一遍后,系统显示转账成功,转账金额为1元钱。很快,对方手机就接到了银行账户余额变动的提示,账户余额少了1元。

      整个过程耗时3分钟

      从拿到对方的手机和钱包,到绑定成功再到转账完毕,整个过程只耗时3分钟。如果实施操作的是别有用心的不法人员,后果将不堪设想。

      对于体验结果,记者随机采访了几位市民,他们脸上满是惊讶的表情。“天哪,我经常把手机、银行卡和身份证放在一起,想不到有如此严重的安全隐患!”市民吴女士说。“以后可得加小心了,万一手机、银行卡和身份证一起丢了,万一吃饭去厕所时被坏人盯上了……3分钟,可能就是系个鞋带的工夫。”

      记者获悉,在微信支付转账金额方面,已绑卡开通微信支付的用户每日最高转账金额为2万元,未绑卡开通微信支付的用户每日最高可转账金额为200元;已绑卡开通微信支付的用户每日收款最高额为2万元,未绑卡用户最高收款额为3000元。若收款方在1日内未予确认,款项将会退还给支付方。

      转账为啥不需要银行卡密码

      记者体验时发现,用户登录微信后,一段时间之内是不需要重新输入密码登录系统的。所以,记者拿到了陌生人的手机,可直接对其微信账号进行操作。转账时,需要输入设定好的微信支付密码,而不是银行卡密码;并且,由于是记者用对方手机绑定了微信和银行卡,支付密码是记者设置的。因而,记者才能成功转账。那么,微信支付转账为何不需要银行卡密码呢?

      对此,360安全专家陈冲说,微信支付以绑定银行卡的快捷支付为基础,与其他第三方支付平台一样,采用标准的快捷支付机制:即用户购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,完成支付。手机短信验证替代银行密码,在方便市民操作的同时,也留下了安全隐患。

      陈冲建议,市民尽量不要把手机、银行卡和身份证放在一起,如果被“连窝端”,将会留下严重的安全隐患。另外,市民要给手机设置一个相对复杂的解锁密码,如此不法人员就难以对手机进行操作。
     
    wj2000, Jan 21, 2015
    #27
  8. DaiCao

    DaiCao

    DaiCao, Jan 26, 2015
    #28
Page 2 of 2