新闻链接：766K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2Q4x3X3g2Z5k6i4S2#2L8W2)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0y4Q4x3X3b7I4x3W2)9J5k6o6t1%4i4K6u0r3x3e0j5H3z5e0j5J5y4U0l9&6i4K6u0W2K9s2c8E0L8l9`.`.
   新闻时间：2013年12月27日
   新闻正文：

前不久，一则《余额宝被盗刷6万多元支付宝让失主“耐心等待”》的新闻引发了笔者的密切关注，不仅仅因为笔者也是余额宝的用户，更重要的一点，这则事件可能折射出支付宝在安全上所存在的某些漏洞，如果这些漏洞确实存在，那么支付宝提升安全保障将刻不容缓，否则还会有更多用户遭遇此类事件。
　　为了将支付宝的整个安全机制搞清楚，笔者花了几天时间来研究，其中分为几个部分，一个是研究支付宝相关的安全功能，以及它们是如何协同工作的；另一个是根据网上所公布的一些信息和案例来分析，核实相关问题，并找到问题的原因所在，通过这两个部分相结合的方式，笔者发现支付宝还真有很多安全问题需要解决。

　　1.对手机过于“依赖”而产生安全隐患

　　网上所提到的支付宝有诸如小额免密码支付、绑定银行卡快捷支付等存在漏洞，这些功能确实有问题，但相关功能用户也可以关闭，这个我们待会儿再谈。这里先谈谈很多用户无法改变，但确实很严重的一个问题，就是支付宝对手机过于“依赖”而产生安全隐患。

　　对一般用户而言，涉及支付宝安全的关键词有如下几个：用户名、登录密码、支付密码、数字证书。只要在上述几个条件满足的情况下，用户就能完成支付。对不法分子而言，他们如果要盗取用户的支付宝账户，则必须解决上述几个问题，别以为这几个问题很困难，只要用户的手机被植入木马，或者手机卡被复制，不法分子就极有可能盗取用户的支付宝账户。

　　用户名相对容易获取，而登录密码、支付密码，也都可以根据短信验证进行修改，注销和安装数字证书也同样如此。一种情况是，用户的手机被植入木马，黑客在操作过程中，通过木马拦截用户短信，获取验证码，而用户全然不知；还有一种情况是直接复制用户的手机卡，如下图所示。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课