支付宝iOS客户端存在漏洞, 手势密码可被简单破解

2013-12-08 01:36:31 +08:00
 013231
操作方法:
1. 断开网络.
2. 连续输错5次手势密码, 支付宝客户端会要求你使用用户名和登录密码重新登陆.
3. 关闭支付宝客户端.
4. 重新打开支付宝客户端, 会进入重新设置手势密码的界面. 这时你可以设置一个新手势密码了.
5. 连接网络.

以上方法在7.6版(目前的最新版)中测试有效.
4157 次点击
所在节点    支付宝
22 条回复
kevinzhow
2013-12-08 02:20:32 +08:00
手机不要离身~
wzxjohn
2013-12-08 02:44:37 +08:00
我用的miui自带的app锁。。。
Mihuwa
2013-12-08 08:02:48 +08:00
亲测有效。怒
loading
2013-12-08 08:03:43 +08:00
sim卡设pin,丢手机马上icloud抹掉,屏幕密码锁
favormm
2013-12-08 09:03:25 +08:00
太大的漏洞了。
sgissb1
2013-12-08 10:13:48 +08:00
android上面还有一个更简单的,可以绕过去。
不过这种也没多大意思。

用完记得退出登录就行了,再不济用完以后直接卸掉。

我最烦不提供注销登录功能的软件!
loading
2013-12-08 10:30:17 +08:00
为什么会这样,程序员都知道这个背后的代码是怎么样的,就一个判断是否为空的问题,我们写这些流程的东西都太理想化了。
manoon
2013-12-08 10:40:26 +08:00
所以,还是那句狠话。
支付宝倒贴我钱,我也不用他的手机端。
ooof
2013-12-08 11:17:33 +08:00
@loading
@manoon

这个疏忽带来的安全缺口不是改了就好了吗?还表明了什么问题?
ytzong
2013-12-08 11:47:10 +08:00
@manoon 我会用,因为余额宝不错
loading
2013-12-08 11:48:37 +08:00
在android和不懂的越狱ios上应支付宝手机端就是派钱
dorentus
2013-12-08 16:08:59 +08:00
@manoon 手势密码平时我都是关掉的……

手机到了别人手里,假如对方已经能解锁进入了主屏,那么有没有这个手机密码都一样的吧,有无数手段可以把应用的文件取出来。
本来就是虚假的安全手段,不要也罢。
manoon
2013-12-08 16:20:14 +08:00
@dorentus 你们不要艾特我。

我就是比较轴,官方强迫引导威逼利诱我用的东西。我就是打死不用。包括什么微信招行客户端手机银行甚至是二代身份证。我都一概拒绝的。
andy12530
2013-12-08 17:21:04 +08:00
@manoon 同样。。。微信支付打死都不用,百度地图里的打车,打死也不用。

支付宝开始收费了。我得考虑切换到财付通了。
zythum
2013-12-08 18:18:02 +08:00
恐慌的不要。因为付款转账都要再输一次密码。做多只是暴露一些个人信息..
loading
2013-12-08 19:16:25 +08:00
android也有效
loading
2013-12-08 19:17:23 +08:00
@zythum 小额免密,是支付宝赔吗?建议紧急关闭小额
shiny
2013-12-08 19:42:24 +08:00
@loading 我的支付宝就因为这个问题被身边的人刷过100多,查订单才知道是谁。
jixiang2627
2013-12-08 19:57:12 +08:00
android 7.7已出来了……正在升级。
mille
2013-12-08 20:03:34 +08:00
@shiny 呃,已经有受害者了,我猜是你老婆...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/92238

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX