漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-050382
漏洞标题:支付宝的一些潜在安全风险(社会工程学角度分析及证明)
相关厂商:支付宝
漏洞作者: 路人甲
提交时间:2014-02-07 17:53
修复时间:2014-02-12 10:49
公开时间:2014-02-12 10:49
漏洞类型:成功的入侵事件
危害等级:中
自评Rank:6
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-02-07: 细节已通知厂商并且等待厂商处理中
2014-02-12: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
支付宝的一些潜在安全风险(社会工程学角度分析及证明)
详细说明:
从社会工程学角度研究新时期的个人网络安全问题
—————以丢失手机后破解失主支付宝账户安全为例
昌吉学院·冯翔
2014-2-6
一、前言
在智能手机的普及和3G网络的飞速发展的今天,越来越多的移动应用在丰富着我们的移动生活,这些应用的安全问题越来越受到人们的关注,其中理财支付类的应用由于其与经济利益息息相关二最受关注,支付宝则是该领域的领头羊,据易观国际发布的《2012年中国第三方互联网支付市场交易额份额》显示,支付宝交易份额为46.6%高居榜首,所以说,支付宝账户资金的安全影响到中国大部分网民的资金安全。
尽管在技术上的升级换代使支付宝账户日益安全,但是我们从社会工程学的角度可以发现漏洞仍然存在,下面我们就以“一个普通网民的手机丢失后如何破解其支付宝账户”为例,演示这一漏洞,并给予解决方案。
二、情景设计:
丢失者:
一名普通的网民,它使用的手机是安卓系统的智能手机,ta在使用的移动APP有QQ、微信、微博、淘宝(关联支付宝),使用的是中国联通的3G网络,平时网购主要通过淘宝进行,开通了快捷支付及余额宝,但手机设有手势密码。
破解者:
一名捡拾到其手机的别有用心者(其有着丰富的社会工程学经验)。
三、步骤演示
1.取出丢失者的SIM卡,插进自己的手机,发送短信MMCZ#123450到10010将密码重置为123450.(如图1)
2.拨打电话到另外一部手机,得知这手机号码。
3.使用手机登陆mob.10010.com,点击“业务查询-我的信息”,可以看到机主身份证的前四位和后四位。(通过前四位我们判断ta应该是个本地人),所以我们实际上知道了ta身份证号码的前六位和后四位。(如图2)
4.破解ta的微博账号,并且将ta的手机存入另一部手机的通讯录,登陆一个QQ号,点通讯录查询到ta的QQ号,并且查看ta的微博及QQ(含空间)资料,判断其具体生日是某年某月某日。
5.这样我们可以得知ta的具体的身份证号码。
6.挂上一个位于美国的VPN,登陆支付宝,点击找回密码,我们通过刚才获取的信息,成功修改其登陆密码。(如图)
7.试图用“支付宝钱包”破解其支付密码,遇到密保问题,发现这个问题是“我父亲的名字”。通过查看其电话本查询到其父亲的电话,但是姓名是“老爹”,然后我通过交话费的方式,查到他父亲的名字,然后成功修改支付密码。(如图)
8.将其资金通过洗钱的方式(如比特币)迅速转移,销毁一切作案工具。
四、防范策略
Ⅰ、支付宝方面
1. 应用更人性化和在逻辑上更安全的安全策略,如:设置急用密保手机,这个手机号可以是其朋友或家人的,只有一个功能,就是发送短信“锁定”到95188,可以迅速锁定支付宝账户,并且在24小时内无法使用支付宝的任何功能。
2. 使用其他依赖的密保方式,减少对手机短信的依赖。
Ⅱ、运营商方面
1. 通过更人性化的方式防止手机在丢失后卡号别恶意利用。(如与手机绑定的方式)
2. 严格保护用户的资料和隐私。
Ⅲ、用户方面
1. 学会使用PIN码。
2. 尽量避免将个人真实资料发到较为公开的社交网络上。
3. 手机丢失后及时联系客服要求冻结(或锁定)账户。
4. 及时去补卡
5. 密保问题要尽量“仅自己知道”,如,密保问题为:“我父亲的名字是?”答案:不应该是:“张三”,而应该是“张san”。
6. 尽量不要“越狱”、“ROOT”或“打开USB调试”。
7. 不要使用来源不明的应用,不应给应用过多的权限(如读取信息记录、读取通话记录和读取手机位置等)。
五、反思总结
在新的时期,有两个趋势:1.应用移动化愈来愈强。 2.应用账户的安全的愈来愈重要。我们应该更加重视用户账户的安全,不仅是理财支付账户的安全、还应该有社交账户的及其他账户,云时代的来临,用户将有更多的信息会保存在云端,但是加密算法的进步和用户步骤简约的要求,我们该如何保证用户账户的安全呢?这是个问题,我们要共同努力!
联系方式:share1995@outlook.com
新疆昌吉市昌吉学院·中文系 冯翔
2014年2月7日0:05:09
漏洞证明:
http://pan.baidu.com/s/1qW11Fek
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-02-12 10:49
厂商回复:
感谢您对支付宝安全的关注。
最新状态:
暂无