狼与孩子不可兼得?微信支付安全深度体验报告
作者:星期二, 四月 22, 20140

微信支付

微信支付的便捷和高收益如“华尔街之狼”般诱人,但对“孩子”——资金安全的担心也是人们尝试移动支付的最大心理障碍,那么,微信支付到底安全不安全,“狼和孩子”可不可以兼得?以下本人从一个信息安全专业人士的角度亲自体验试用微信支付,对微信支付的个人隐私保护、安全功能和安全体验进行全面摸底,希望能给读者们一些启示。

春节期间微信推出了“抢红包”,身边的好多人都玩疯了,在3.8妇女节的时候身边还有好多人通过微信发红包。通过“抢红包”,微信迅速的吸引了大量用户绑定银行卡,据说绑定量达到了3000万。不管数据是真是假,但身边参与的人的确不少,媒体新闻是铺天盖地,影响力也相当大。

本人也参与到了这场“抢红包”的游戏中,为了玩“抢红包”也被迫绑定了银行卡抢红包、发放红包。但在high过后,微博里零星的有人开始讨论起微信支付的安全问题。

其实在微信版余额宝“理财通”推出期间,由于收益略比余额宝略高,身边就有同事朋友蠢蠢欲动想把钱转移到“理财通”,但由于是新兴产品担心微信的安全性没敢进行资金转移。

移动支付产品的安全需求,毕竟是用户的基本需求,于是本人抱着学习和研究的态度去测试和体验了一下微信支付的相关功能,以下是本人使用过程的安全体验。

一、 微信的登录认证的安全体验

微信支付是建立在微信之上的功能,安全性和微信本身的安全密切相关。于是本人首先对微信的登录认证机制进行了测试。

1) 用户默认保存登录信息

微信为提升用户的登录体验,客户端默认是保存登录认证信息的,也就是说如果你登录微信后,没有进行退出操作,每次打开微信就能自动登录。因此如果有人获取到您的手机,就可以直接使用微信。有人会说“我的手机设置了密码别人拿了也用不了”。那我告诉你,如果你用的是Android手机随便下个软件几秒钟就能破解锁屏密码。如果你用的是“爱疯手机”且越狱了那和Android没多大区别,下个软件也是几秒钟的事情。有人说我没越狱那总安全了吧?我只能说不一定,网上看了一下有相关软件能实施暴力破解,只是多花点时间,本人没进行尝试,感兴趣的同学可以做个测试。

2) 用户手机号与微信绑定

有的用户说“我使用习惯非常好,每次使用微信后都会退出”。那么,我们接着分析。微信登录和注册时,默认首选的是“手机号码”,这应该是微信刻意引导用户使用手机号码进行注册,以简化注册成本,并能通过用户手机通讯录进行好友推送(本人也是因此暴露了自己的微信小号,众多联系人通过微信推送加我好友)。大多数的用户的确都乖乖的通过手机号码注册使用微信了。在这里就产生了一个问题,如果手机丢失、手机号码弃用、非正常途径补办卡、SIM卡复制、短信劫持等都会对微信安全造成威胁。因为可以通过短信验证取回登录密码,同时微信还存在一种登录方式“短信验证码登录”,用户可以通过手机短信验证的方式进行登录。

通过其它方式(如QQ号码)登录微信的,在使用过程中一不小心被微信勾搭绑定了手机号码,也就可以直接通过手机号码进行登录。这时就可以使用手机号码通过短信验证方式登录。

用户能做到随时退出微信,又不是手机号码注册,且没绑定手机号码,估计还是挺少的。

3)微信登录认证方式总结

在微信的“设置-我的帐号”中有个奇葩功能“独立密码”,如果你是使用QQ号登录的,你就可以为微信设置一个“独立密码”,这样登录微信既可以使用原来QQ的口令登录,也可以使用独立口令登录,这是要提升用户的体验吗?没太理解产品经理的意图。反而增加了帐号的风险,用户需要确保两个口令的安全,攻击者如果通过某种途径获取到一个口令就可以登录微信。

微信为防止盗号,对新客户端使用做了限制,如果是新客户端首次登录,输入口令后还需判断识别2位自己的微信好友头像方可登录。但如果盗号者盗取了其QQ号码,通常QQ好友信息和微信类似,多猜几次基本能猜中。另外如果QQ用户还没有登录过微信或微信好友低于2位则直接可进行登录,绕过该控制,对于那些QQ号没激活微信的就可以直接登录。

同时微信还有一个“绑定手机号”的功能,如果绑定手机号,则每次登录都需要短信验证,这个对于盗号还是能起到比较好的防御作用的,在测试过程中发现了微信的又一个流氓行为,即使不勾选“通过手机号搜索到我”,但还是把我的手机号推送给我的通讯录好友,存在欺骗用户的情况。部分用户为了自己的隐私可能就不会开启该功能。

image

本人把微信登录时的认证方式整理了一下,如下:

微信登录认证方式

在新客户端首次登录,输入口令后还需判断识别2位自己的微信好友头像方可登录,但如果您是微信的新用户还没有好友信息则直接可进行登录。

2. 微信绑定了手机号,登陆时需要进行短信验证。

二、 支付模块登录认证安全体验

1) 缺少隐私安全问题

微信支付的相关功能都在“我的银行卡”功能模块中,模块中涉及这个模块虽然是和支付相关的模块,但并不支持设置单独的口令,同时也没有类似手势密码的功能。如果用户已经绑定银行卡,且使用了“理财通”等产品,用户登录微信后就可直接查看到其相关交易信息和资产状况。例如某人要是刚入手了一个新款手机肯定有众多粉丝会要求拿过去耍一耍,这时一不小心你私房钱“理财通的资产”就泄露了,要是有网上购买情趣用品习惯的人可就糗大了。迅雷、百度云盘都支持手势密码和单独口令,微信做为即时通讯软件又附带支付功能,隐私信息众多,为嘛就不考虑一下呢?随着微信接入商的增多,敏感信息必然越来越多,强烈建议微信添加一个手势密码。

imageimage

2) 绑定银行卡强制记录个人信息

微信在绑定银行卡时,如果是首次绑定,需设置支付密码。如果已绑定或曾绑定过银行卡,则添加新的银行卡需先输入支付密码后方可进行绑定操作。信用卡和储蓄卡两类卡都可进行绑定,但需提供的信息稍有不同。储蓄卡绑定,需提供持卡人姓名、身份证号、卡号、预留手机号码、短信验证码。信用卡绑定,不同银行的需提供的信息略有不同,大多数卡需提供持卡人姓名、身份证号、卡号、信用卡有效期、安全码、预留手机号码和短信验证码等信息。

imageimage

【储蓄卡绑定】【信用卡绑定】

首次成功绑定银行卡后,你的姓名、身份证号就会被微信记录,且与该微信帐号绑定不能更改。首次绑定有点类似实名认证,为鼓励用户绑定银行卡,在绑定过程中微信并未进行相关提示和告知,此做法导致众多人账号错误的被绑定了非本人的个人信息,且不能更改(腾讯客户回复暂时不提供更改服务)。

3) 支付密码的安全问题

由于微信支付模块不支持设置单独的口令,也没有类似手势密码的功能。用户在进行支付时,输入支付密码后即可完成支付,这时支付密码的安全就变成了最后的一关。

【口令强度】用户的支付密码是在首次绑定银行卡时提示设置的,且口令只能设置为6位数字,复杂度较低,用户需注意窥视、口令猜解等风险,特别是有将口令设置成简单数字、电话号码、生日等弱口令的用户。

【口令修改】用户修改支付密码有两种途径,一是输入原密码,二是重新绑定银行卡修改支付密码。

重新绑定银行卡需姓名、身份证号、卡号、预留手机号码、短信验证码等信息。因此如果用户的手机丢失而短信、照片、聊天记录中刚好留存相关个人信息,或者用户身份证、银行卡、手机同时丢失,则存在支付密码被重置的可能。现在现在手机已经做为日常沟通的首要工具,用户难免会在微信、QQ、短信等使用过程中提及身份证、银卡号登信息,例如汇款、购买机票/火车票等等所以该风险是确实存在的。

三、 微信钓鱼和诈骗

微信做为手机端软件,大家很多在电脑上养成的安全习惯,到了移动端又突然消失了,用于对于盗号诈骗、钓鱼链接等防范意识相对较低。在抢红包期间伪造的微信红包让很多人扑了个空,但要如果是恶意链接,则将是一大片人中招,微信需在这方面加强相应的安全措施和用户教育。

四、 关于赔偿

微信与中国人保财险(PICC)达成合作,并抛出“你敢付,我敢赔”的口号,我看了一下微信支付的两个声明条款,具体的大家自己解读吧。

imageimage

 

五、 结束语

虽然微信的账号控制存在一些问题,但是用户如果能够保管好自己的手机,保护好账号口令以及取回密码所依赖的措施,同时保持良好的安全意识,总体来说微信还是比较安全的。

对于安全意识和安全习惯,以下是笔者的一些小建议供参考:

1. 为微信设置强健的口令,同时注意QQ的账号安全;

2. 手机中不存储个人信息,日常生活中注意不泄露自己的个人信息;

3. 为手机设置解锁口令,不随意将手机借用他人;

4. 保管好自己的手机,防止丢失,丢失手机第一时间挂失SIM卡,锁定账号,如有必要设置PIN密码;

5. 不在微信轻易点击陌生人发送的链接,防止钓鱼;

6. 不随意ROOT和越狱,注意辨别山寨App,不安装来源不明的App;

7. 安装必要的防病毒等安全软件。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章