近日,网络上曝出iOS端手机支付宝存在解锁漏洞:手机在没有网络的情况下,连续输错五次支付宝手势密码,就可以重新设置手势密码,之后就能直接进入支付宝账户。记者实验发现该漏洞确实存在,经过短短2分钟的操作,便可轻松更改手势密码进入账户实现小额付款。对此,记者致电阿里巴巴旗下的支付宝客服时,工作人员表示,已有多人向他们反映了这一情况,支付宝方面也正对这一漏洞解决当中。
根据网友的曝料,测试支付宝手势解锁漏洞共有4个步骤:第1步:将手机调至飞行模式,关闭网络;第2步:打开支付宝APP,在输入手势密码手势时故意输错五次,然后退出支付宝;第3步:重新打开支付宝APP,此时支付宝会要求用户设置新的手势密码;第4步:设置成功后,关闭飞行模式,重新联网,顺利进入支付宝界面。
针对“支付宝钱包”手势密码形同虚设的情况,有网友在动手实验后惊呼:“这意味陌生人能够在不知道密码的情况下也能操作自己的支付宝账户。”
针对上述漏洞,8日上午,记者找来两部iPhone手机进行实验。记者选取的第一部手机是安装了iOS6、支付宝钱包7.5版的iPhone4S手机,前后用时不到两分钟,便重新设置了支付宝手势密码,支付宝账户信息直接就显示出来了;“支付宝钱包”系统默认的是“小额免密支付”功能开启,随后,记者用这台手机为别人的号码很顺利地充值200元。
紧接着,记者又用一台未安装“支付宝钱包App”的iPhone 4手机进行实验,该手机安装的是iOS 6系统。记者临时下载了一款最新的支付宝钱包App(支付宝官方客户端7.6版),利用同样的步骤,记者不用一分钟便破解了事前设置的手势密码,并进入账户页面。不过,记者注意到7.6版的支付宝钱包中“小额免密支付”功能是默认关闭的,想要开启的话需要机主的支付密码,因此记者未能进行转账、充值。在开启“小额免密支付”后,记者发现,在随后的小额充值、转账操作中,仍需要输入支付密码,“小额免密支付”功能不能实现。
这意味着,旧版的“支付宝钱包App”可以随意改动手势密码、随意充值;新版的“支付宝钱包App”也可以随意改动手势密码,无论是否开启“小额免密支付”功能,在充值、转账时都需要输入支付宝支付密码,不会对机主造成太大损失。
目前该手势漏洞仅出现在包括iPhone、iPad在内的iOS端设备中,安卓设备在连续输错5次系统会进行自动锁定,然后提示重新输入或是用淘宝账户登入。
针对这一问题,记者致电支付宝客服电话95188,客服人员表示,已有多人向他们反映了这一情况,支付宝方面也正对这一漏洞解决当中,后期推出的支付宝钱包7.7版会解决这一漏洞。该客服人员还称,目前尚未接到因为破解客户手势密码,而让客户损失钱财的案例,同时,支付宝对于快捷支付有72小时全额赔付的承诺,不管用户是因为个人原因还是运营商原因造成资金损失,只要资金是通过快捷支付付出去的,支付宝都会给予全额赔付。