因友人手機被盜����,來電咨詢賬戶安全問題�����,我昨晚研究了一晚上�,發(fā)現(xiàn)微信支付上可能有個漏洞,嘗試了很久�����,沒找到解決辦法。下面詳述一下����,供使用微信支付的微友們參考,注意設防����,也希望如果測試結果屬實,微信官方能注意到這個信息�,予以分析和改進。
微信付款碼刷碼支付時�����,打開付款碼后是不需要另外輸入密碼的�,只要進入了`服務'���,付款碼就能被打開����,就能被Bi的一聲刷碼扣錢����。我發(fā)現(xiàn)的問題有兩點���,介紹如下。
一���、進入能夠支付的唯一通道`服務'雖然可以設置手式密碼或指紋密碼��,但進入后再退出來��,在一定時間(我測試貌似是1分鐘或幾十秒��,也可能更長)內再點服務���,無需密碼就能再次進入并打開付款碼,如此可以無限多次無需密碼進入服務和打開付款碼刷碼���,這樣����,在極端情況下是有被無限次盜付風險的�����,比如剛剛退出服務手機就被盜,對方就可以迅速再次進入服務多次打開支付碼進行盜付�。
二、微信支付功能與銀行卡綁定���,零錢扣完了它就會自動從銀行卡扣���,這樣實際上用戶對零錢賬戶數(shù)額失去了限制能力,拿到他人手機并只要順利進入服務的人�,就可以刷完手機里的零錢后繼續(xù)刷銀行卡內的錢。
而且我還發(fā)現(xiàn)���,現(xiàn)在微信端好像已經取消了用戶自己設置支付限額的權限(記得舊版本可以�,我現(xiàn)在的版本是8.0.49)�,反正我找了一晚上沒找著該如何設置(在支付設置內已經沒有了這一功能,截圖后附����。)
另外����,手機系統(tǒng)的桌面圖標密碼鎖(應用密碼鎖)功能也有類似問題,設置了密碼鎖后�����,照理每次從微信退回桌面后再點微信圖標,都應該要求輸入密碼才能打開微信�,但我發(fā)現(xiàn)也是在一定時間內再次去點,根本就無需輸入密碼就點開了��。進一步測試熄屏以后密碼有作用��,但只要屏是亮著的�����,貌似較長時間都無需密碼就能點開���。本人兩個手機一個是安卓系統(tǒng)����,一個是Harmony(鴻蒙�?)系統(tǒng),都是這樣���。
目前看�,無論是在微信內進入支付服務�,還是從桌面點開微信圖標�����,我測試都有這個無需密碼(盡管已經設置了密碼)的時間窗口�����,雖然時間較短��,但對于無孔不入的小偷高手來說卻是一個盜刷良機�,是個可以輕易利用的黃金窗口���。模擬一個場景�����,比如你在付款支付時旁邊恰好是一個知道這個漏洞并居心不良的人�,而你提著采購的東西手忙腳亂之間����,臨時把手機放在框臺上騰出手整理東西,被他在你忙亂的不注意之間迅速拿走你的手機����,然后立即開始操作,無論是點開微信圖標還是點開后進入微信的支付服務�,由于時間尚短無需密碼,他都可以輕易地打開支付碼連續(xù)刷碼支付�����,刷光你零錢賬戶上的錢后�,又自動轉向你綁定的銀行卡,不斷刷碼盜付�����。
最后一個問題���,貌似微信支付現(xiàn)在無法自行設定單筆單日限額了(我試來是這樣�,記得以前可以)��,支付多少錢完全依賴于銀行卡的支付限額設置�,十分不方便,而且很多人亞根不會設置銀行卡的支付限額(是支付限額�����,不是轉賬限額���,大部分銀行卡的缺省設置支付限額是10萬�,看到這里的微友不妨問下自己重新設置過了嗎),這就進一步加劇了風險�。
如果以上測試不是我的個人操作問題或手機原因導致,應該說就是微信支付設計上的一個安全缺陷(點開桌面圖標問題倒不是微信問題�����,而是操作系統(tǒng)問題)�����。大家也最好試試看是不是這樣�。根據(jù)本人目前測試的結果,我認為應該盡快把進入支付服務和從桌面點開微信圖標的這個雖然用戶已經設置了密碼但在一定時間內卻無需密碼的時間窗口取消����。希望微信官方和手機系統(tǒng)官方能看到和重視這個信息,以策用戶支付安全�。
再次說明,本人因能力有限����,不確定以上測試結果是不是正確的,有賴大家共同測試、澄清�����、證實���,如系本人測試錯誤或不嚴謹所致,請忽略��。
