经营范围/ Server

服务行业

您当前所在位置:主页 > 服务行业 >

微信支付的潜在风险

发布者:xueao发布时间:2018-01-31浏览量:

微信支付的潜在风险  

微信的登录认证的安全体验    


微信支付是建立在微信之上的功能,安全性和微信本身的安全密切相关。


于是本人首先对微信的登录认证机制进行了测试。   


1)用户默认保存登录信息     

微信为提升用户的登录体验,客户端默认是保存登录认证信息的;

也就是说如果你登录微信后,没有进行退出操作,每次打开微信就能自动登录。


因此如果有人获取到您的手机,就可以直接使用微信。

有人会说“我的手机设置了密码别人拿了也用不了”。


那我告诉你,如果你用的是Android手机随便下个软件几秒钟就能破解锁屏密码。

如果你用的是“爱疯手机”且越狱了那和Android没多大区别,下个软件也是几秒钟的事情。


有人说我没越狱那总安全了吧?

我只能说不一 定,网上看了一下有相关软件能实施暴力破解;


只是多花点时间,本人没进行尝试,感兴趣的同学可以做个测试。   


微信扫码时的画面展示


2)用户手机号与微信绑定     

有的用户说“我使用习惯非常好,每次使用微信后都会退出”。

那么,我们接着分析。


微信登录和注册时,默认首选的是“手机号码”;


这应该是微信刻意引导用户使用手机号码进行注册,以简化注册成本,并能通过用户手机通讯录进行好友推送、

(本人也是因此暴露了自己的微信小号,众多联系人通过微信推送加我好友)。 


大多数的用户的确都乖乖的通过手机号码注册使用微信了。


在这里就产生了一个问题,如果手机丢失、手机号码弃用、非正常途径补办卡、SIM卡复制、短信劫持等都会对微信安全造成威胁。


因为可以通过短信验证取回登录密码,同时微信还存在一种登录方式“短信验证码登录”,用户可以通过手机短信验证的方式进行登 录。    


通过其它方式(如QQ号码)登录微信的,在使用过程中一不小心被微信勾搭绑定了手机号码,也就可以直接通过手机号码进行登录。

这时就可以使用手机号码通过短信验证方式登录。    


用户能做到随时退出微信,又不是手机号码注册,且没绑定手机号码,估计还是挺少的。   


微信红包打开时的画面
 

隐患:易克隆、假冒微信头像  


市民钟先生称,由于微信只是聊天工具,无法绑定身份证等个人信息进行实名认证;


同时微信头像和昵称可以随意更换,存在一定身份认证漏洞;


容易被不法分子盗用好友头像和昵称冒充身份。  


防范对策:  


在使用微信时,可以通过添加个性备注或设置聊天背景来区分类似名字的好友。


另外需要注意的是,在对方发送消息后,还要仔细查看其资料;


如果存在怀疑,应及时查证,避免上当受骗。   


微信扫码使用时的画面


隐患:一旦盗刷,账户被清空   


不少市民担心,现在很多人都习惯将自己所有的资金存放在同一个银行账户内;


平时经常在微信上使用打车软件和缴费等等,将所有钱存放在一个账户里,支付起来很方便,不用担心余额不足。


但是,在便于管理的同时也带来了安全隐患。


如果用这张存放全部资金的银行卡开通了微信银行,如果一旦被盗刷就可能将账户内的资金全部清空。  


防范对策:   


不要将资金集中在同一账户内,应该将自己的资金存放在不同的账户内,分散被盗刷带来的风险。


这样,即使不慎被盗刷,也可以尽量减少损失。


微信支付的过程图