水果粉丝俱乐部

让科技更好服务生活

点击上方“蓝色文字”即可加入我们

今天，有网友爆料支付宝发现了一个致命的新漏洞：陌生人有1/5的几率登录你的支付宝，而熟人有100%的几率登录你的支付宝，甚至可以直接用手机更改没有原始密码的电话号码。

据网友介绍，原理如下：登录手机账号——忘记密码——手机不在身边——在淘宝买东西的9张图片中选择1张——选择9张好友图片中的1张进行好友验证——成功登录 。此时，您可以直接扫描二维码进行支付，无需密码。

经过测试，确实有效。

具体步骤如下：

1.打开支付宝登录界面，输入您的账号，点击忘记密码；

2、输入账号后，直接点击无法接收短信；

3.这里验证方式有很多，选择你知道的方式，熟人验证，你知道的好友信息；

4. 更改密码。忘记原来的密码，直接修改。

修改后直接登录账户，功能全部可用，支持免密支付。

消息曝光后，立即刷屏。毕竟关系到自己的财产安全。想到更改密码是多么容易，就让人感到害怕。

有网友给出了临时解决方案：如果您突然收到支付宝发来的验证码短信，提示有人尝试登录您的支付宝账户，您可以立即进入支付宝客户端，点击【我的】→【设置】→【安全】中心] → [急救箱] → [快速挂失]。

对此，支付宝官方很快回应称，这种方式只会在特定情况下实施。并且一旦用户的支付宝在其他设备上登录，个人设备就会收到通知提醒。

此外，支付宝表示，今天上午收到网友反馈后，我们已进一步提升风控系统的安全级别。目前，只有在用户自己的手机上，可以通过识别最近购买的商品和识别好友来找回登录密码。该方法无法通过其他移动设备找回登录密码。

支付宝全面回应

移动安全专家如何看待此漏洞？

猎豹移动安全工程师@李铁军亲自测试并尝试修复支付宝熟人密码修改漏洞。他表示，此次安全问题的关键在于“常用设备验证”被意外绕过。至少系统应该知道这次登录是“常用设备”、“新设备”、还是“偶尔登录的设备”。对于每种登录情况，使用不同的身份验证方法。

因此，一切便利的支付都伴随着安全风险。付款有风险，请谨慎。

想尽快看到水果粉丝俱乐部的文章吗？

不想错过最新最快的科技和数字资讯？

只需加入苹果粉丝俱乐部即可！

（选择水果粉丝俱乐部微信公众号置顶）