自己的手机登录支付宝就安全？实验表明验证短信会被拦截
作者:华商网
用自己的手机登录支付宝就安全？实验：验证短信会被拦截
华商报4月23日见报的《买上万手机号 改支付宝密码 盗23.8万元》，引起大家对第三方网络支付平台安全性的关注。不法分子之所以能通过网络进行盗窃，除了购买了大量手机用户号码和电信网上服务平台登录密码，关键是采用了拦截支付宝短信验证码的方法。
所有第三方支付平台和不少移动端网络应用，在进行用户身份验证时都很依赖手机短信验证码。而只要在规定时间内正确输入短信验证码，甚至可以立即重置重要的登录或支付密码。那么，短信验证码究竟能否当此大任？23日，西安电子科技大学的三位硕士研究生和华商报记者一起做了一个实验。
&&实验验证
恶意程序盗取短信验证码，难吗？
实验时间：日16：00~17：00
实验地点：华商报社二楼
实验人员：西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏，华商报记者
实验顾问：西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华
为了做这次实验，三位硕士研究生使用了一个特殊的安卓手机软件，这是一个恶意程序，起名&钓鱼攻击&。
实验模拟的情境是，李鑫使用的一部安卓手机已中招，恶意程序一直在后台运行。该软件预先设置的黑客手机号码，是一起做实验的华商报记者的一部手机。
实验开始，李鑫打开手机&支付宝&进行登录。而实际上，他打开的只是一个钓鱼界面。但中毒手机的机主很难注意到，所以输入的账号、登录密码都是真的。
就在李鑫登录&支付宝&的瞬间，华商报记者的手机收到了一条短信，内容就是李鑫所用的支付宝账号和登录密码。如果充当黑客角色的华商报记者，此时立即打开自己手机上真正的支付宝应用，输入短信中的用户名和密码，完全可以登录并使用李鑫的支付宝账户。
如果黑客使用支付宝过程中，需要短信验证码怎么办？这个验证码，支付宝可不会直接发给黑客。
别急，按照程序设计，中毒手机在使用支付宝的过程中，只要收到含有&支付宝&三个字的短信，就会自动把短信内容转发给黑客手机。
为验证这一点，王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫。几乎同时，华商报记者的手机就收到了同一条短信。如果这就是黑客需要的验证码，后果可想而知。重置密码、改绑手机，凡是黑客在操作中需要填短信验证码的环节，中毒手机都会自动在需要的时候通过短信转发过来。所以，几分钟甚至几十秒这样的时间限制，并不是问题。
就这么一个小小的程序，不但破解了支付宝账户名和登录密码，而且在操作中凡是需要短信验证码的时候，都会自动发给黑客。让华商报记者看得目瞪口呆。
李鑫说，为研究如何加强安卓系统防木马和钓鱼软件的功能，他们设计了一个新的安卓操作系统。为验证该系统防护性能，才专门制作了这样的&钓鱼攻击&软件。其实这样的钓鱼软件并不罕见，甚至在淘宝上花一二百元就能买到。这类恶意软件通常会和热门软件捆绑，或者伪装成游戏挂件等，用户很难辨别真假。一旦安装并运行了这样的软件，不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客，有些软件还会让用户无法收到支付宝发来的短信。
&&实验总结
仅靠短信验证 无法确保支付安全
西安电子科技大学计算机学院博士、副教授杨超介绍，传统的银行账户实行实名强验证，也就是本人拿着身份证去当面验证，必要时输入验证密码。网络支付方式为突出便利性，降低了验证门槛，一般采取密码验证和短信验证相结合的方式，被称为&双因子验证&。但现在出现了两个问题：一是手机短信验证用过头了，被当做主要验证方式，用它可以去重置登录密码或支付密码，也就是说用短信验证去否决密码验证，这样的设计是不合适的。二是手机短信验证有天然缺陷，在传播过程中可以被截获，实验也说明了这样的问题。所以，短信验证码是不能单独担当主要验证权限大任的。
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
支付宝短信验证
支付宝安全吗
支付宝登录密码
相关的资讯有：
支付宝短信验证
支付宝安全吗
支付宝登录密码
相关的博文有：
既然大家想提前知道iPhone 7长什么样子，苹果也就不藏着掖着了，这是在说梦话吗？？？...
下周三，小米将在北京召开发布会，正式发布旗下的新机红米Pro。就在刚刚，雷军在微博...
目前已经有多款国产手机配备了多达6GB内存，能不能用到且不说，至少看上去很唬人。有...
根据在线旅行和费用管理服务提供商Certify公布的数据，2016年第二季度，Uber仍然受到...
据路透社报道，电商巨头亚马逊将与富国银行合作，进军学生贷款业务，为付费订阅Prime ...
有消息称投资者在Uber的投资者有意与滴滴签署合作协议，并在探讨Uber中国区与滴滴之间...
iOS 10正式版还要一段时间到来，而苹果也是在不断完善它，现在新系统又开启了一个隐藏...
MIUI 8重磅功能曝光！小米Pay来了
很早之前就有消息称小米将进军移动支付领域，而且去...
在QQ 8.4正式版更新多次之后，腾讯在日前正式放出了QQ 8.5体验版。QQ 8.5体验版的版本...
近日，精灵宝可梦系列制作人增田顺一表示《精灵宝可梦：GO》在日本及其他亚洲国家正式......
大话西游手游七圣降世资料片即将推出，各种新地图和套装等待大家，下面为大家介绍新资......
倩女幽魂手游公测已近两月，表现持续强势。在7、8两个月倩女手游将推出首个大型资料片......
芒果互娱携手湖南卫视、芒果TV于5月26日在北京举行了一场以“1+N，一起玩”为主题的游......
Copyright (C)
All rights reserved.
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请支付宝真的这么安全吗？一个手机验证码就可以修改登陆密码，据说我是第一个办到的……
关注我最近动态的朋友，应该发现我这两天又和支付宝磕上了。
为什么说又？
新号码已经被注册了支付宝账号
手机号码是我去年办理的，因为当时我原手机还没有停号，发现绑定不了新手机就不了了之了。所以用了快一年我都没有再关注这个，毕竟支付宝使用不多，基本都是靠网银。
账号被泄露后准备注册新的支付宝账号
我在八月份的时候发生了账号泄露的情况，也造成了一定的经济损失，出于安全考虑，就准备把支付宝账号注销，重新注册一个。
这个时候问题来了，我现在手机号码已被注册，该怎么办？
支付宝客服建议我，用邮箱注册账号，绑定现有手机号。
我也确实有邮箱账号注册，并绑定我手机号码，但发现转账过程中，一旦输入手机号码就会出现两个账户。
因为曾经出现过转错账的事情，我特意咨询了支付宝，万一转账错误怎么办。可能我比较较真，就想得到一个肯定答案。在和支付宝客服交谈过程中……最后我把客服一起投诉了。
支付宝客服（工号11724）表示：这个问题会有专门部门进行鉴定，我们不能保障能将转错的钱追回来。要不你别用好了，等我们可以注销账号再说。
反正大意如此，因为时间有点久她还说了一些话让我一起投诉了。此外，支付宝那边也信誓旦旦的表示了账户的安全，因为不管进行如何操作，都需要身份证验证。
我修改了原手机号机主的支付宝登陆密码
就在上周，我无聊退出了手机支付宝APP上的账号，用手机号码尝试登陆。在输入密码过程中，我选择忘记密码。
进行忘记密码操作后，再将原本绑定的手机号输入，我就收到了一个验证码。
在手机支付宝APP上输入验证码，直接跳转到了新密码界面。
我随意输了一个账号密码，就登陆成功了。
发现这个问题后，我立刻给支付宝客服打电话，表示了账户安全信息的担忧，希望支付宝一方将已经信息泄露的账号进行冻结或者其他操作。
但支付宝客服表示没有此权限。因为直接就此问题进行过交涉，我表示希望将这个这个问题反馈上去。而且此客服也表示：从未发生过这类问题，我是第一例。（是不是第一例我不知道，对方确实如此告诉我）。
问题跟进以及反馈
周六的时候我接到反馈电话，因为正在前往外地的路上，所以表示周一联系。
周一也就是今天我接到了电话，在和客服进行交流后，给我转到了安全（？）部门，安全部门问了我账号和了解了大概情况，表示不是他们负责，又给我转到了一个X部门（没听清楚叫什么）。
接电话的是一个小哥，依照之前的经验，我问他要不要告诉他账号，并说明情况，对方直接来了句：别说这些没用的。
好吧，我就洗耳恭听。
客服让我直接告诉他邮箱账号，会发邮件让我传身份证和入网证明。因为之前的几个客服真的是各种劝解太久了，我有点不信这么简单，就多嘴问了句，我不需要证明我登陆对方账号了吗？
没想到对方来了一句：提醒你别再登陆这个账号了，你会违反法律法规。
我好怕哦……我当场就表示你是在威胁我吗？
换一个角度，我自己的手机号码，我找回密码有哪里不对？我要违反法律法规何必和你们反映这个问题？！
对方很拽的表示没有，并让我报上邮箱号码。
我告诉对方邮箱号码了，对方就说发了，我主动表示你发前和我核对下邮箱号码。
因为涉及手机入网证明，我表示不知道怎么查询，客服就说发你的邮件上有说明。
客服全程态度都很不耐烦。
目前我已经将身份证和手机电池上的照片发过去了，至于入网证明是不是正确我就不知道了，我最后是百度的。顺便附上所谓的有说明的邮件。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。当前位置：&>&&
【支付宝辟谣未实名认证用户余额将被冻结一事】经网易数码记者求证，蚂蚁金服方面表示，此前有媒体报道称未实名认证用户余额将被冻结一事系谣传。相关人士指出，实名验证的方式有很多种，未绑定银行卡就不能使用账户余额或者冻结一说是错误的。若尚未补全身份信息，账户部分功能将会受到不同程度的影响。但用户只需根据提示进行操作，完善个人身份信息后即可，不存在冻结一说。
汇通网5月22日讯——【支付宝辟谣未实名认证用户余额将被冻结一事】经网易数码记者求证，蚂蚁金服方面表示，此前有媒体报道称未实名认证用户余额将被冻结一事系谣传。相关人士指出，实名验证的方式有很多种，未绑定银行卡就不能使用账户余额或者冻结一说是错误的。若尚未补全身份信息，账户部分功能将会受到不同程度的影响。但用户只需根据提示进行操作，完善个人身份信息后即可，不存在冻结一说。您的举报已经提交成功，我们将尽快处理，谢谢！
别人可能不小心输入错误，输入了你的手机号码？
大家还关注
(window.slotbydup=window.slotbydup || []).push({
id: '2081942',
container: s,
size: '1000,60',
display: 'inlay-fix'我的手机号买的时候已经被别人登记了 开通支付宝后充钱进去发现需要验证身份才可以使用余额 现在怎么办_百度知道
我的手机号买的时候已经被别人登记了 开通支付宝后充钱进去发现需要验证身份才可以使用余额 现在怎么办
那个人我不认识
他的银行卡号我更是不知道了 钱就存在支付宝余额里面
但是使用不了
该怎么办才可以使用余额？
我有更好的答案
建议联系支付宝客服95188反馈核实、联通，但是之前机主用该号码注册了支付宝账户、电信）二次销售，可能是由于此手机号长期不用被运营商（包括移动根据你的描述
其他类似问题
为您推荐：
开通支付宝的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁}