微信、支付宝都出了大新闻,斗地主还差一个你
都快过农历新年了,谁家都怕出幺蛾子,有的是大新闻,有的却害怕大新闻。 不信,你看—— 本周关键词:小程序发布 | 支付宝漏洞 | 剪刀手拍照指纹泄密 | 浏览器自动填充漏洞 社交网站账号密码 一、小程序的发布与担忧 1月9日,很多人的朋友圈被小程序刷屏了……一边是张小龙发在朋友圈野心勃勃地向乔布斯致敬,一边是吃瓜群众把小程序玩得不亦乐乎。小编同时也搜集到一波体验(吐)感受(槽)。 小程序有这些槽点:小程序找起来还是很困难;微信小程序加载耗费流量,加剧微信耗费的内存,所以整体对内存的占用并不比原生APP低;虽然微信小程序重新构建了架构,不再采用H5的架构,提升了加载速度,但总体加载速度依然低于原生 App,影响用户体验。 小编宅客频道本着看热闹不怕事大的原则,决定探寻一个重要的问题:黑客有没有可能通过微信小程序的漏洞,偷偷地用你的微信给他发一个大红包? 为了搞清这个问题,小编咨询了几位黑客大牛,整理回答如下: 小程序改变了业务前端实现的形式,但是基本的业务没有变化。所以对于小程序服务商而言,有两方面风险依然存在:Web接口的漏洞。例如 xss、csrf、各类越权等等。这类是服务构架本身的漏洞。业务功能的逻辑漏洞。例如:订单额任意修改,验证码回传、找回密码设计缺陷等等。这些也是后端服务本身的漏洞。 传统的 App 客户端,由于代码比较复杂,体系比较大,经常存在很多漏洞。现在,由微信提供接口,服务商只需要调用微信的接口就可以实现服务功能。这使得以前针对 App 客户端的攻击行为失去了对象。 小程序跑在微信中,以前人们关心 App 客户端手否存在漏洞,现在人们需要关心微信是否安全了。 由于微信主程序会通过 JS 接口向小程序暴露规定的服务。如果小程序可以获取到规定服务外的信息(比如:用户的钱余额等)即是信息泄露。 总之,可以将微信理解成浏览器,将小程序理解成网页。如果执行小程序可以在微信中执行任意代码,就是传统意义上的远程代码执行。 例如:攻击微信;实现小程序之间的跨站攻击;攻击操作系统。 所以,我们需要担心黑客通过微信小程序盗走我的红包吗?目前看来,没这个必要。 根据以往的经验,腾讯在自身产品的安全性上,会投入巨大的精力。而对于皇冠级产品微信,相信腾讯更是不敢有丝毫疏漏。就在小程序退出的当天,TSRC(腾讯安全应急响应中心)也发布了英雄帖《微信小程序如约而至,安全需要你的守护》,宣布即日起到2017年1月20日,“重金”收集有关微信小程序的漏洞和威胁情报。 二、支付宝曝漏洞,熟人可以改密码 小编在上班路上忽然收到了一条支付宝验证码的短信,察觉到异常后立刻打开了支付宝客户端,结果被吓出了冷汗: 他发现自己的支付宝账号竟正被别人登录,随即他收到一条朋友发来的微信消息: 我刚才用网上流传的“支付宝致命漏洞”来重置你的登录密码,竟然成功了!你还不知道吗?朋友圈都传开啦! 支付宝漏洞?小编随即打开朋友圈,发现已经有很多网络安全圈内的朋友都转了一条名为“支付宝惊现致命漏洞,快解绑你的银行卡”的报道。 报道中称,有网友发现支付宝在登录方式上存在致命的逻辑漏洞,导致熟人之间可以相互登录对方的支付宝账号,流程大致如下: 进入「忘记密码」界面后,选择「无法接受短信」,这时候会出现两个相关问题:一、在9张图片当中找出你认识的人 ;二、选择与您有关的地址。 只要成功答对这两道问题,就可以重置该支付宝账号的密码,并且在登录后可以正常使用免支付密码的快捷支付功能,直接使用对方支付宝中的资金。 很快,随着该消息在朋友圈内的传播,越来越多的人表示自己收到支付宝登录验证短信,以及相关的账号异常提醒。许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。 有人表示,周围已经有不下十人成功登录了身边朋友的支付宝账号,甚至有网络安全高手也中招了,由此他判断此次问题可能非常严重。 小编在对周围朋友的支付宝账号进行了大约7~8 次尝试后,成功重置了自己女朋友的支付宝密码,这是在双方十分了解,知道对方认识的人、购物记录和家庭住址等情况的前提下实现的。虽然结果确实令人惊讶,但成功率并没有网上说的那么夸张——“陌生人有五分之一的机会登录你支付宝,熟人有百分之百的机会登录你的支付宝”。 在测试中我们发现,两个测试题会随机出现“你认识的人”、“和你相关的地址”、“你曾经买过的东西”等不同的问题,只要答错一两次,该种方式就会被屏蔽,只允许使用其他方式找回密码,并且其他的方式也会在尝试失败后逐渐被屏蔽,这似乎触发了支付宝的某种安全机制。 在多次试验后,小编发现自己无论使用谁的支付宝账号,都无法再使用之前那种通过相关信息来重置密码的方式。 至上午10点左右,周围不少在测试该漏洞的朋友也表示自己测试失败,只有在自己的常用设备下才能触发相关消息找回。有安全从业者表示:“支付宝响应很快,据说目前已经对风控进行了调整。” 三、剪刀手拍照会被盗指纹?表示不相信! 据人民网消息,日本国立信息学研究所教授越前功(Isao Echizen)日前在接受日本新闻网( NNN)采访时指出,如果拍照时,光线明亮,恰巧焦点对准指纹,就可以通过照片复原其指纹信息。如果由此制作出人工手指“义指”,便可冒充本人登录各种指纹识别的终端,因此拍照时要慎用“剪刀手”。 越前功在实验中采用的照片是由市面销售的 2040 万像素数码相机所拍摄,对该照片进行图像处理后,得到了指纹数据。距离镜头1.5米拍摄的照片,指纹可以清晰地呈现出来,距离 3 米处则可以判断出大致模样。因此越前功表示,距离3米处拍摄的照片存在被盗取指纹的可能性,并且“技术方面门槛并不高,谁都可以轻松处理”。 (编辑:ASP站长网) |