+ 首页>>评测>>真相与数据>>内容

评测FreeBuf – 移动支付安全评测:微信支付篇264次围观

2013年绝对是移动支付领域快速发展的一年,短短一年之间,各种伴随移动设备出现的支付工具纷至沓来,无论是靠电子商务起家,互联网支付领域的巨头阿里,还是后发制人协微信推出微信支付的腾讯,无一不在向消费者暗示着一个信息,看好你的钱包,移动支付时代就要来了。

声明:我们尽量将测试的所有内容做到客观中立,并且所有测试中的测试项都可以在相同版本中进行验证,感兴趣的朋友可以自己尝试。本次测试分为腾讯篇和阿里篇,测试产品版本分别为:

微信:5.1版本
支付宝钱包:8.0版本

前一段时间很多微博、论坛都在讨论支付宝钱包的安全性和所谓的“手机丢失实验”测试。在我们的测试过程中,也有涉及到“手机丢失”的测试,支付宝钱包真的有像新闻里写的那么脆弱吗,别着急,这个就留在下一篇阿里篇去讨论。

移动支付介绍

移动支付从应用情景层面来说,可以分为远景支付和近景支付。远景支付顾名思义就是,用户以远程的手段进行支付,远景支付我们大家都已经很熟悉了,常见的远景支付包括网银支付、银联支付、网络交话费、水电费等等。而近景支付则是一个相对陌生,并且市场相对空白,有待市场挖掘和用户教育,常见的近景支付有:NFC、手机钱包、声波支付、扫码支付等。

微信支付介绍

2013年8月5日,腾讯发布微信5.0版本,正式加入了支付、游戏、二维码扫描条形码报价、扫描英文翻译、封面、街景等功能。从5.0版本开始,腾讯协微信正式进军移动支付领域。
用户在微信中关联一张银行卡,并完成身份认证,即可将装有微信app的智能手机变成一个全能钱包,之后即可购买合作商户的商品及服务,用户在支付时只需在自己的智能手机上输入密码,无需任何刷卡步骤即可完成支付。

微信支付与支付宝

微信支付和支付宝确切来说不是一个层面上的竞争。支付宝是一个支付工具,而微信支付,只是以微信产品为基础,为支付提供应用场景的生态体系,微信确切的说是一个底层架构,支付是微信产品基础之上衍生出来的一个服务,当然,如果腾讯愿意,微信也可以搭载更多的支付工具,甚至包括支付宝,也可以在微信上实现有效应用。

微信支付最特别的地方在于,虽然它用了财付通的牌照和后台,但是微信支付的账户和财付通却没有任何关系。也就是说,你在微信支付里绑定的信用卡和消费账单,在用QQ账户登录的财付通上压根看不到,财付通也没有一个可以让你用微信账户登录的地方。这意味着微信支付根本没有网页端和电脑客户端,是一个纯粹内置在微信里的移动支付手段而已。

在微信支付的过程中,支付变成使用者用信用卡付款,而不是通过第三方支付用信用卡付款,除了一条确认短信之外根本不关财付通什么事。这样的支付流程和亚马逊有点像,你想买东西,掏出信用卡就够了,不用在买卖双方之间再加个第三方支付。

潜在风险

不同微信号对相同银行卡的多重绑定
用一张图片说明:

FreeBuf - 移动支付安全评测:微信支付篇

FreeBuf

产生的本质原因:注册微信时,微信未对注册人的真实身份(身份证、手机号码等)进行认证。
而在后期的测试中,也验证了这个问题,我们用两个手机的两个不同微信账户,可以绑定同一身份人的同一张银行卡,并且可以设置不同的支付密码。

FreeBuf - 移动支付安全评测:微信支付篇

不同微信号对相同银行卡的多重绑定

FreeBuf - 移动支付安全评测:微信支付篇

潜在风险

根据现有的信息,我们不难看出,由于支付宝前期定位就是一款便捷的支付工具,因此对账户信息和真实身份的验证计划执行的相对比较周密;而微信则不太相同,由于微信最初的核心定位在于其强大便捷的社交属性。这里大胆猜测,微信支付在最初的微信产品计划里是不存在的,是初代产品发布后,中途加进去的想法,当后期用户增长到一定数量,才计划开始做支付这个模块的。否则应该在微信最初上线时就对用户进行真实身份认证的。

FreeBuf - 移动支付安全评测:微信支付篇

支付宝

解决办法:

增加对微信用户的真实身份验证。鉴于微信用户已经是一个很庞大的群体,让用户自助式实名制认证明显是不可取的,这里可以借鉴使用财付通的数据,由于财付通拥有第三方支付牌照,可以将财付通的实名制数据与微信账户关联,从而解决这个问题。

总结

在对微信支付进行测试的过程中,除去多重绑定这个在逻辑设计上存在的一些问题,其他诸如数据加密传输、证书替换和中间人截断等测试,微信支付表现的还是很不错的,总体安全性还是比较可靠。

另外,移动支付领域从最初的电话、短信、网银到现在的手机支付、NFC支付等方式,未来也许还会出现类似苹果Touch ID指纹识别技术的生理特征支付方式。但无论哪种支付方式。敏感数据的加密、存储、传输永远是核心问题,敏感信息问题一天不解决,移动支付的普及就没有基础。扫码支付也好、声波支付也好、NFC支付也好,它们提供的只是一个更加简捷的支付方式,是最表象的东西,底层仍然是安全。

——微信支付篇 THE END——

注:文章内容仅供交流学习使用,拒绝任何不负责任的夸大传播。

via FreeBuf

+ 猜你喜欢...

===== 关于 DiggerPlus =====
DiggerPlus是国内新锐测试人垂直内容博客,专注于挖掘测试工具,普及测试技术,专注于测试人能力提升,博客上线后就受到广大测试人的热烈追捧;此外,DiggerPlus深度整合评测资源,揭秘科技数据和真相,让读者更懂科技,更好地把玩科技。 我们始终保持"独立,客观,严谨,优秀"的优良作风,努力为读者带来源源不断的优质内容。想访问更多酷毙的测试人网站?赶紧来DiggerPlus测试人网址导航看看吧!

===== DiggerPlus Team =====
DiggerPlus Team是DiggerPlus官方发起的团队,这是一群热爱科技,热爱测试,喜欢深度挖掘的热血测试人,他们是评测师,测试专家。 我们欢迎优秀的测试人加入DiggerPlus Team。 加入DiggerPlus,可以成为我们的认证Dper,认证Dper拥有DiggerPlus独一无二的专栏并得到个人展示。

===== DiggerPlus 官方读者群 =====
DiggerPlus官方读者群(一)

+ 关于本文作者

Python/C/C++/Javascript程序员,持续学习者,目前专注于前端开发。

的专栏 | 专栏作者 | 访问小A的主页

+ 已有2个评论

开源中国精彩推送

基于开源中国OpenAPI开发
  • Copyright © 2014 DiggerPlus. 90 queries in 1.242 seconds.
    使用合作网站账号快速登录,更多精彩等着您: 开源中国