​​作者：张相虎律师666 

近日，我在使用抖音APP时，发现抖音APP在支付方面存在逻辑设计缺陷，有可能造成大家重大财产安全隐患，导致手机所有人的财产损失。

具体逻辑设计缺陷为：1、支付密码安全性低，容易被盗刷。

抖音APP在首次绑定银行卡时前置支付密码验证可以通过快捷绑卡绕过，仅需要通过手机短信验证码及手机所有人身份证号就可以实现快捷绑卡和盗刷。步骤为【选择农业银行快捷绑卡】->【姓名和身份证号实名认证】->【短信验证码验证】-【设置支付密码】->绑卡成功并设置了支付密码->【成功充值零钱】->【成功购买抖币并打赏给主播实现盗刷】

2、存在的安全设计缺陷为：重置密码流程易被攻破进而盗刷。

快捷绑卡的前置支付密码验证可以通过快捷绑卡绕过（不知道支付密码也可以通过快捷绑卡成功且可重置支付密码）。如果用户已设置支付密码，想要快捷绑卡时需要验证支付密码->【选择“忘记密码”】->进入银行卡绑定页面->【这次选择建设银行快捷绑卡】->【验证手机验证码快捷绑定储蓄卡】->【可以重置支付密码】

综上所述，别有用心之人知道手机所有人的身份信息后，利用抖音APP存在的上述支付安全漏洞盗取、骗取手机持有人的财产，造成手机所有人的财产损失。

顺便吐槽一下，在抖音APP上就没找到客服联系方式去反映上述安全漏洞，最终只能在支付密码修改成功的短信通知里找到400-056-7076这个电话。接通后对方也说她们公司并非抖音公司，只是支付渠道公司。表示把问题反馈给抖音公司，但无法确定能否解决及何时解决上述安全漏洞。作为大家常用的抖音APP，上述安全漏洞哪怕晚一天解决，都可能威胁成千上万使用者的财产安全。

同时，本人又用上述方式试验了微信、支付宝、美团、拼多多等APP安全性，发现微信和支付宝安全性较高，不论是在首次绑定银行卡还是在重置支付密码时，除了需要手机验证码和身份证号外，还需要其他只有手机所有人本人所有或者知道的信息，如支付密码、指纹、人脸等。而美团APP在首次绑定银行卡和重置支付密码时、拼多多APP在首次绑定银行卡时也都存在安全隐患，即仅需要通过手机短信验证码及手机所有人身份证号就可以实现。

1、美团APP首次绑定银行卡可以通过快捷绑卡，仅需要通过手机短信验证码及手机所有人身份证号就可以实现快捷绑卡。步骤为【选择快捷绑卡】->【持卡人和身份证认证】->【选择农业银行绑卡】->【短信验证码验证】-【设置密码】->快捷绑卡成功。

2、如果用户已设置支付密码，【选择“找回支付密码”】->【身份证号码验证】->【验证手机验证码】->【设置新密码】。

3、拼多多APP首次绑定银行卡可以通过快捷绑卡，仅需要手机所有人姓名身份证号及短信验证就可以实现快捷绑卡并设置密码。步骤为【选择一键添加银行卡】->【本人姓名和身份证号确认】->【选择农业银行绑定】->【短信验证码验证】->【设置多多钱包密码】->开通钱包。

因此作为用户对抖音APP、美团APP、拼多多APP安全建议：

（1）首次绑卡的快捷绑卡除了短信验证码、身份证号之外增加其他只有手机所有人本人所有或者知道的信息，如支付密码、指纹、人脸等。

（2）支付密码的重置不应仅依赖短信验证码、身份证号，需要增加只有手机所有人本人所有或者知道的信息如完整银行卡号并绑卡成功或指纹、人脸等。

对个人用户安全建议：

（1）手机设置屏幕解锁，手机不要默认开启调试模式或者进行root破解或越狱。

（2）电话卡可以重置pin码，提高手机卡被取下插入其他手机使用的攻击门槛。

    以上就是本篇文章【抖音等多款APP被爆存在支付安全漏洞】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/3759.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多