2013年互聯網金融對的發展令人震驚。不論是網上銀行、移動支付、三方支付、個人貸款都在迅速崛起。工作需要,上年12月初步探測(不能說研究)了下微信支付,其他小伙伴做的支付寶,現在就將探測到的一些成果比較后分享下。
概念性東西,例如微信支付不做過多說明,不了解的去看下百科。支付寶是小伙伴在研究我也不算很清楚,不過拿他測試的結果來和微信支付做下比對以更好的說明問題。
微信支付的整體消費流程是這樣子的:
微信賬號--->綁定--->驗證--->設置支付密碼--->消費
為了更好的測試,我就綁定了自己的銀行卡并消費。具體過程百科已經很詳細貼個圖說明下,綁定結果。大企鵝的綁定驗證過程是怎樣的呢?經過自己的測試我們不難發現驗證過程是這樣子:
1.初次綁定卡:
再次綁定其他卡相對簡單只需要,預留手機、手機驗證碼。(這時候你會發現該微信只能綁定以第一張開戶的戶主的其他卡片,想綁定其他人卡與該微信對不起客官,不可以)。當以上信息同時滿足時,銀行卡便被微信綁定,支付時只需要
--->支付密碼(6位數字)
不同的行銀行卡最高限額不同。
支付寶錢包消費:
支付寶賬號--->消費支付寶、消費信用卡、消費儲蓄卡、消費余額寶
消費方式有三種:
1.復雜支付密碼
2.數字支付密碼(6位)
3.小額面密。
仍用一張圖說明3種支付方式的依賴關系:
經過以上的消費過程,我們不難發現這些的全部過程我們的銀行卡密碼是完全沒有用到的。ok,個人認為這些可稱作快捷支付吧?那么我們的銀行卡會不會被別人惡意綁定并消費呢?看微信給出的答案:可以。支付寶錢包給出的答案是:不可以。為什么呢?我們來分析下:
微信的綁定過程在上面已經了解過了:重新去注冊個新的微信按以上步驟去綁定、消費。我們發現是完全行的同的。而且不同的微信賬號,設置不同的支付密碼去同時消費同一張銀行卡。綁定過程:卡號+身份證+卡片預留手機號+手機驗證碼。做一個不要臉的假設,社工搜集(可以對自己的同事下手,哈哈)一旦搞定手機(借收機打個電話、也有小伙伴說補卡)你錢就沒了。小心同事借你手機打個電話你的銀行卡上的錢就莫名其妙的少了…………?恭喜你,他可以隨意消費你的銀行卡了。
卡號+身份證+預留手機+驗證碼---|---|-->錢少了
一個圖說明下銀行卡和微信直接多對多(一個微信可以綁定多個第一個卡片戶主下的其他卡片)的關系:
那么支付寶錢包為什么不可以呢?我們都知道,注冊支付寶的時候會有實名驗證,而且你一但注冊是不能二次注冊的。而后期的消費過程中密碼設置更是逐層要求相加。例如你想小額免密支付,必須有以上兩個密碼設置。支付寶安全首先從,根本抑制了以上微信中的問題。當然Tencent注冊的底層基數已經不可能抑制,那么是不是從安全角度去思考是不是該比阿里做的好點呢?為了表明本次探測的真實性,貼幾張探測過程中的圖片證明:
同一張卡被不同微信綁定:
兩個手機最后消費成功的證明:
根據上面的圖標我們可以清晰的分辨事實的可行性。
本diaosi,在Java空白加上本身編程能力不強,所以沒對相關apk做反編譯。另外,對于微信銀行做了簡單探測,發現絕大數都是跳到自身銀行WAP頁面進行的相關操作,要想做神一步的研究需要偽造生成證書,過程較麻煩且數據量大,所以沒有諸個測試。數據傳輸和數據存儲部分沒技術不過關沒發現什么東西,有興趣的小伙伴可以研究一下。本文僅僅起到拋磚引玉的作用,移動安全、互聯網金融是熱門,大家沖啊!