能否讨论一下支付宝 APP 的安全问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3218 天前的主题，其中的信息可能已经有所发展或是发生改变。

以前没认真研究过支付宝APP的安全问题，直到昨天更新了新版支付宝9.0后才试了一下。

不讨论手机本身的安全问题，不论苹果还是安卓，不讨论网页版支付宝的问题，只讨论支付宝APP的安全问题。

假设前提：
1、手机被偷了或者掉了；
2、没有及时发现被偷或掉，所有没有及时去挂失银行卡、挂失支付宝、挂失手机号。

如果小偷直接操作手机，那么问题来了：
1、手势密码密码通过忘记手势来重新登录来解决，重新登录的登录密码可以直接手机验证码找回，我今天试了点忘记密码，收货验证码就来了，然后就可以重新设置登录密码了；另外，手势密码功能已经下线；
2、没有手势密码的话，就直接进入APP了，然后账户余额、关联了几张卡、账单记录等等一览无余，还可以向朋友收款借钱了，这个借钱有点扯远了啊，光借钱没意思，钱还是在这个支付宝里；
3、光看余额也没意思啊，要把钱弄到手才行，所以就来重置支付密码了。当我点击“重置支付密码”，系统显示这是我的常用设备，然后我点击下一步，就直接把支付密码改了，无需输入以前的支付密码，无需进行其他任何验证，对，就这么改了，改了自然就可以买东西了转账了。
4、如果更不幸，你的身份证银行卡一起被盗，且银行卡也是填写这个手机号，那么就可以直接绑定快捷支付，然后将银行卡里钱也卷走了。

http://ww2.sinaimg.cn/large/692aa05cgw1etwiyrm2rqj20hs0vkdhf.jpg

虽然支付宝有保险最高赔100万，但谁愿意被盗了以后再去索赔呢？

第 1 条附言 · 2015-07-09 19:23:32 +08:00

看了支付宝的微博评论，下面一片骂声啊！主要问题就是隐私和支付密码

目前看来，支付宝APP本身已不安全
所以，
1、可以用完就退出，甚至删除APP；
2、通过手机本身来加强安全，比如锁屏密码，指纹解锁，BioProtect等插件

支付宝

密码

支付

18 条回复 • 2015-07-09 20:02:47 +08:00

Kahn

2015-07-09 15:36:41 +08:00

我的支付宝绑定在另外一个手机上。。。

Alwaysonline

2015-07-09 15:39:23 +08:00

开个玩笑：买苹果5S以上的苹果手机，带指纹。：）

小心使得万年船，支付宝用的时候登陆，用后退出。//

contactfront

2015-07-09 15:40:12 +08:00

用后退出登录
绑定的手机号是另一台设备

hinate

2015-07-09 15:40:49 +08:00 via Android

这都被赶上了，那说明天要亡你

coolzjy

2015-07-09 15:42:35 +08:00

细思恐极，修改密码居然不用输入原密码的设定也是醉了

iqav

2015-07-09 15:44:12 +08:00

好像很危险的样子。好多安全的问题都依赖手机本身，能不能在手机本身上做点手脚来提高安全性？

simple_plan

2015-07-09 15:46:09 +08:00 via Android

大学室友今天发的微博：

晚上十点半显示有人在电脑端登录了我支付宝，然而有人申请通过邮箱方式修改登录密码，我在手机端改了一下支付密码。刚刚0点20分又显示有人用什么客户端登录，然而这次我在手机端登录失效，通过手机号码重置密码后居然还是不正确，现在我已经登录不了支付宝了@支付宝 @支付宝客户中心求解答 [图片]

PS Root过的

xdeng

2015-07-09 15:57:28 +08:00

用iPhone 保平安

imn1

2015-07-09 16:07:26 +08:00

支付宝这个业务流程是错误的，所以一直不用

paradoxs

2015-07-09 16:22:43 +08:00

支付宝的核心是那个100万的保险。
这个赔付率据我所知几乎高达100%

imn1

2015-07-09 16:32:48 +08:00

其实这些问题在内地是存在法理逻辑错误的，所以无解
商户甲方，客户乙方，第三者丙方从甲方盗取，只要乙方和丙方无关联，那就只是甲方和丙方之间的事，无论丙方是否使用了乙方的资料；除非乙方向丙方提供信息，那才能算乙方参与了
现在乙方要直接担责（或多或少），实质就是有罪推论（连坐）

典型的例子还有停车场车辆被盗、银行被转账……诸如此类