抖音虽然现在是一个短视频平台,但是还是对其他的业务有很大兴趣,在抖音上是可以充值打赏直播主播的,而在抖音上充值的流程被人发现出现了漏洞,那么抖音充值的漏洞在什么地方呢?
我在使用抖音APP时,发现抖音APP在支付方面存在逻辑设计缺陷,有可能造成大家重大财产安全隐患,导致手机所有人的财产损失。
具体逻辑设计缺陷为:
1、支付密码安全性低,容易被盗D。
抖音APP在首次绑定银行卡时前置支付密码验证可以通过快捷绑卡绕过,仅需要通过手机短信验证码及手机所有人身份证号就可以实现快捷绑卡和盗D。步骤为【选择农业银行快捷绑卡】->【姓名和身份证号实名认证】->【短信验证码验证】-【设置支付密码】->绑卡成功并设置了支付密码->【成功充值零钱】->【成功购买抖币并打赏给主播实现盗D】
2、存在的安全设计缺陷为:重置密码流程易被攻破进而盗D。
快捷绑卡的前置支付密码验证可以通过快捷绑卡绕过(不知道支付密码也可以通过快捷绑卡成功且可重置支付密码)。如果用户已设置支付密码,想要快捷绑卡时需要验证支付密码->【选择“忘记密码”】->进入银行卡绑定页面->【这次选择建设银行快捷绑卡】->【验证手机验证码快捷绑定储蓄卡】->【可以重置支付密码】
综上所述,别有用心之人知道手机所有人的身份信息后,利用抖音APP存在的上述支付安全漏洞盗取、骗取手机持有人的财产,造成手机所有人的财产损失。
顺便吐槽一下,在抖音APP上就没找到客服联系方式去反映上述安全漏洞,最终只能在支付密码修改成功的短信通知里找到400-056-7076这个电话。接通后对方也说她们公司并非抖音公司,只是支付渠道公司。
表示把问题反馈给抖音公司,但无法确定能否解决及何时解决上述安全漏洞。作为大家常用的抖音APP,上述安全漏洞哪怕晚一天解决,都可能威胁成千上万使用者的财产安全。
抖音充值的漏洞目前还是有手段去防范的,大家在日常的使用中也不要随意的泄露各种个人隐私信息,不然就可能通过这个漏洞让你的钱财受到损失,不过相信后面抖音或者支付公司会修复这个漏洞。
留言与评论(共有 条评论) |