都快過農(nóng)歷新年了，誰家都怕出幺蛾子，有的是大新聞，有的卻害怕大新聞。

不信，你看——

本周關(guān)鍵詞

▼

小程序發(fā)布 |  支付寶漏洞 |  剪刀手拍照指紋泄密 | 瀏覽器自動填充漏洞

社交網(wǎng)站賬號密碼

一、小程序的發(fā)布與擔(dān)憂

1月9日，很多人的朋友圈被小程序刷屏了……一邊是張小龍發(fā)在朋友圈野心勃勃地向喬布斯致敬，一邊是吃瓜群眾把小程序玩得不亦樂乎。雷鋒網(wǎng)同時也搜集到一波體驗（吐）感受（槽）。

小程序有這些槽點：小程序找起來還是很困難；微信小程序加載耗費流量，加劇微信耗費的內(nèi)存，所以整體對內(nèi)存的占用并不比原生APP低；雖然微信小程序重新構(gòu)建了架構(gòu)，不再采用H5的架構(gòu)，提升了加載速度，但總體加載速度依然低于原生 App，影響用戶體驗。

雷鋒網(wǎng)宅客頻道本著看熱鬧不怕事大的原則，決定探尋一個重要的問題：黑客有沒有可能通過微信小程序的漏洞，偷偷地用你的微信給他發(fā)一個大紅包？

為了搞清這個問題，雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))宅客頻道咨詢了幾位黑客大牛，整理回答如下：

小程序改變了業(yè)務(wù)前端實現(xiàn)的形式，但是基本的業(yè)務(wù)沒有變化。所以對于小程序服務(wù)商而言，有兩方面風(fēng)險依然存在：Web接口的漏洞。例如 xss、csrf、各類越權(quán)等等。這類是服務(wù)構(gòu)架本身的漏洞。業(yè)務(wù)功能的邏輯漏洞。例如：訂單額任意修改，驗證碼回傳、找回密碼設(shè)計缺陷等等。這些也是后端服務(wù)本身的漏洞。

傳統(tǒng)的 App 客戶端，由于代碼比較復(fù)雜，體系比較大，經(jīng)常存在很多漏洞?，F(xiàn)在，由微信提供接口，服務(wù)商只需要調(diào)用微信的接口就可以實現(xiàn)服務(wù)功能。這使得以前針對 App 客戶端的攻擊行為失去了對象。

小程序跑在微信中，以前人們關(guān)心 App 客戶端手否存在漏洞，現(xiàn)在人們需要關(guān)心微信是否安全了。

由于微信主程序會通過 JS 接口向小程序暴露規(guī)定的服務(wù)。如果小程序可以獲取到規(guī)定服務(wù)外的信息（比如：用戶的錢余額等）即是信息泄露。

總之，可以將微信理解成瀏覽器，將小程序理解成網(wǎng)頁。如果執(zhí)行小程序可以在微信中執(zhí)行任意代碼，就是傳統(tǒng)意義上的遠(yuǎn)程代碼執(zhí)行。

例如：攻擊微信；實現(xiàn)小程序之間的跨站攻擊；攻擊操作系統(tǒng)。

所以，我們需要擔(dān)心黑客通過微信小程序盜走我的紅包嗎？目前看來，沒這個必要。

根據(jù)以往的經(jīng)驗，騰訊在自身產(chǎn)品的安全性上，會投入巨大的精力。而對于皇冠級產(chǎn)品微信，相信騰訊更是不敢有絲毫疏漏。就在小程序退出的當(dāng)天，TSRC（騰訊安全應(yīng)急響應(yīng)中心）也發(fā)布了英雄帖《微信小程序如約而至，安全需要你的守護》，宣布即日起到2017年1月20日，“重金”收集有關(guān)微信小程序的漏洞和威脅情報。

二、支付寶曝漏洞，熟人可以改密碼

雷鋒網(wǎng)編輯在上班路上忽然收到了一條支付寶驗證碼的短信，察覺到異常后立刻打開了支付寶客戶端，結(jié)果被嚇出了冷汗：

他發(fā)現(xiàn)自己的支付寶賬號竟正被別人登錄，隨即他收到一條朋友發(fā)來的微信消息：

我剛才用網(wǎng)上流傳的“支付寶致命漏洞”來重置你的登錄密碼，竟然成功了！你還不知道嗎？朋友圈都傳開啦！

支付寶漏洞？雷鋒網(wǎng)編輯隨即打開朋友圈，發(fā)現(xiàn)已經(jīng)有很多網(wǎng)絡(luò)安全圈內(nèi)的朋友都轉(zhuǎn)了一條名為“支付寶驚現(xiàn)致命漏洞，快解綁你的銀行卡”的報道。

報道中稱，有網(wǎng)友發(fā)現(xiàn)支付寶在登錄方式上存在致命的邏輯漏洞，導(dǎo)致熟人之間可以相互登錄對方的支付寶賬號，流程大致如下：

進入「忘記密碼」界面后，選擇「無法接受短信」，這時候會出現(xiàn)兩個相關(guān)問題：一、在9張圖片當(dāng)中找出你認(rèn)識的人 ；二、選擇與您有關(guān)的地址。

只要成功答對這兩道問題，就可以重置該支付寶賬號的密碼，并且在登錄后可以正常使用免支付密碼的快捷支付功能，直接使用對方支付寶中的資金。

很快，隨著該消息在朋友圈內(nèi)的傳播，越來越多的人表示自己收到支付寶登錄驗證短信，以及相關(guān)的賬號異常提醒。許多人開始用身邊朋友的支付寶賬號來嘗試復(fù)現(xiàn)該漏洞。

有人表示，周圍已經(jīng)有不下十人成功登錄了身邊朋友的支付寶賬號，甚至有網(wǎng)絡(luò)安全高手也中招了，由此他判斷此次問題可能非常嚴(yán)重。

雷鋒網(wǎng)編輯在對周圍朋友的支付寶賬號進行了大約7~8 次嘗試后，成功重置了自己女朋友的支付寶密碼，這是在雙方十分了解，知道對方認(rèn)識的人、購物記錄和家庭住址等情況的前提下實現(xiàn)的。雖然結(jié)果確實令人驚訝，但成功率并沒有網(wǎng)上說的那么夸張——“陌生人有五分之一的機會登錄你支付寶，熟人有百分之百的機會登錄你的支付寶”。

在測試中我們發(fā)現(xiàn)，兩個測試題會隨機出現(xiàn)“你認(rèn)識的人”、“和你相關(guān)的地址”、“你曾經(jīng)買過的東西”等不同的問題，只要答錯一兩次，該種方式就會被屏蔽，只允許使用其他方式找回密碼，并且其他的方式也會在嘗試失敗后逐漸被屏蔽，這似乎觸發(fā)了支付寶的某種安全機制。

在多次試驗后，雷鋒網(wǎng)編輯發(fā)現(xiàn)自己無論使用誰的支付寶賬號，都無法再使用之前那種通過相關(guān)信息來重置密碼的方式。

至上午10點左右，周圍不少在測試該漏洞的朋友也表示自己測試失敗，只有在自己的常用設(shè)備下才能觸發(fā)相關(guān)消息找回。有安全從業(yè)者表示：“支付寶響應(yīng)很快，據(jù)說目前已經(jīng)對風(fēng)控進行了調(diào)整?！?/p>

三、剪刀手拍照會被盜指紋？表示不相信！

據(jù)人民網(wǎng)消息，日本國立信息學(xué)研究所教授越前功（Isao Echizen）日前在接受日本新聞網(wǎng)（ NNN）采訪時指出，如果拍照時，光線明亮，恰巧焦點對準(zhǔn)指紋，就可以通過照片復(fù)原其指紋信息。如果由此制作出人工手指“義指”，便可冒充本人登錄各種指紋識別的終端，因此拍照時要慎用“剪刀手”。

越前功在實驗中采用的照片是由市面銷售的 2040 萬像素數(shù)碼相機所拍攝，對該照片進行圖像處理后，得到了指紋數(shù)據(jù)。距離鏡頭1.5米拍攝的照片，指紋可以清晰地呈現(xiàn)出來，距離 3 米處則可以判斷出大致模樣。因此越前功表示，距離3米處拍攝的照片存在被盜取指紋的可能性，并且“技術(shù)方面門檻并不高，誰都可以輕松處理”。

看到此消息，雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))編輯嚇得把鏡頭前的小手趕緊縮了回來。

不過，卻有專家持不同意見。360公司安全研究人員魏黨偉告訴雷鋒網(wǎng)，指紋信息作為個人生物信息的一部分被廣泛的用在各種身份識別和認(rèn)證，其核心點是采集清晰的指紋信息，用于生成特征點。只有可以提取準(zhǔn)確特征點的照片，才會泄漏指紋信息。也就是說，只有拍攝照片中，手指紋理清晰可見，才會泄漏指紋信息。

那么，具體是什么范圍內(nèi)“剪刀手”就會出賣你的“指紋”？同理，虹膜信息會不會也被捕捉到？

魏黨偉說，目前手機拍照技術(shù)，在正常的拍攝距離（大于1米）的范圍下，是不可能把手指紋理拍攝清楚的，就更不要說虹膜了。這也是正常的指紋和虹膜采集，必須要在很近的距離，嚴(yán)格限定的方位和特定光亮度下采集。

同時，目前的網(wǎng)絡(luò)傳播，都會降低照片的清晰度，損失的照片的細(xì)節(jié)，就更不可能泄漏指紋信息了。

但魏黨偉也提到，現(xiàn)代的單反相機和高檔手機，在微距拍攝（小于0.5米）是有機會拍攝清楚指紋的，所以不要在公開網(wǎng)路上傳播有指紋和虹膜的微距拍攝照片原始文件。

雷鋒網(wǎng)從公開信息中檢索到，為防止指紋被盜，目前該研究所已開發(fā)出一種有特殊花紋的透明薄膜，除能隱藏指紋外，該薄膜還能夠在不影響指紋解鎖的同時，在拍照時將你的指紋偽裝成別的指紋。

該研究所研發(fā)的透明薄膜是僅為研究性產(chǎn)物還是準(zhǔn)備商用的產(chǎn)品？是否有為技術(shù)或產(chǎn)品推廣之嫌？日本該研究所除了用市面銷售的 2040 萬像素數(shù)碼相機在上面所稱的3米和1.5米范圍內(nèi)拍攝，是否還用了其它復(fù)雜的技術(shù)來破解指紋信息？

一切尚未可知。

四、瀏覽器自動填充被曝漏洞

最近一個芬蘭的網(wǎng)頁開發(fā)者和黑客 Viljami Kuosmanen 發(fā)現(xiàn)了一個自動填寫表單功能重大的潛在安全漏洞，他表示諸如 Chrome、Safari 和 Opera 等瀏覽器，或是 LastPass 這樣帶自動填充功能的瀏覽器插件，都可能會泄露用戶的隱私。

一般來說，在使用自動填充功能之前，用戶需要提前把需要自動填充的個人信息存儲在瀏覽器或者工具中，以 Chrome 瀏覽器為例：

其自動填寫的信息包括郵編、詳細(xì)地址、組織（公司）、用戶名、電話、和電子郵件等，通?？捎脕砜焖偬顚懯肇浀刂?。

再以自動登錄工具 Lastpass 為例，它提供了更為詳細(xì)的資料填寫項目，幾乎可以幫你自動填寫能想到的所有資料，包括除了基礎(chǔ)的用戶名、姓名、生日、社會保險號碼（身份證號），還有詳細(xì)地址、聯(lián)系人、銀行賬戶等等。

然而這些 Viljami 發(fā)現(xiàn)，通過極其簡單的手段將一些文本輸入框隱藏起來，就可以在你不知情的情況下，得到你表單中的所有個人資料。

為了實際展示該功能，Viljami 做了一個簡單的演示 Demo 網(wǎng)站，看起來，網(wǎng)頁上只要求輸入姓名和郵箱，但是按提交鍵后，通過瀏覽器抓取信息顯示，除了頁面上能看到的兩項信息以外，用戶的電話、地址等信息也被上傳了。

【圖片來自：Viljami 提供的演示 demo  】

雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))宅客頻道按照這種思路繪制了一個釣魚網(wǎng)站騙取用戶信息的示意圖如下：

釣魚網(wǎng)站會將一些用戶電話、地址等信息的輸入框隱藏起來，雖然用戶的肉眼看不到，但是自動填寫程序能捕捉到，并在用戶不知情的情況下“幫” 用戶把信息填進去。

據(jù)雷鋒網(wǎng)了解，喜歡海淘的人經(jīng)常需要填寫如信用卡卡號、有效日期和安全碼等信息，此外，人們在參加“特價秒殺”等搶購活動時也需要爭分多秒地填寫表單，這時許多人會 選擇將住址、電話等資料保存在瀏覽器或插件中，以便自動填充。

一旦用戶在釣魚網(wǎng)站使用了自動填充功能，就很可能會泄露自己的詳細(xì)地址、信用卡號、安全碼等信息。

問題的發(fā)現(xiàn)者 Viljami 表示：“該問題在 Chromium 內(nèi)核中存在6年之久，這就是我不愛用自動填寫表單的原因?！?/p>

他還表示 Mozilla 的 Firefox 火狐瀏覽器并沒有此類問題，因為它只支持自動填寫單個文本框而不支持一鍵填寫整個表單，用戶需要逐個點擊輸入框，因此那些隱藏起來的文本輸入框就是去了作用。

五、如何用技術(shù)知道另一半的社交賬號密碼

周末了，來輕松一下。

蕾蕾一直沒有想明白，身高1米8，又帥又體貼的峰峰為什么看上了自己？要知道，峰峰的前女友可是身材高挑、膚白貌美的小美女。最近，蕾蕾從峰峰身后路過時，“一不小心”看到了峰峰在聊天，而“小美女”的頭像一直在跳動。蕾蕾沒有問峰峰，但如晴空霹靂，又百爪撓心，想知道男票究竟和前女友說了啥。

一不做、二不休，蕾蕾想，要不干脆找到男朋友的社交帳號密碼，也好時時關(guān)注“敵情”。

怎樣才能神不知鬼不覺地拿到男朋友的社交帳號密碼？

第一招：社工

例如：1.“最近聽說某某網(wǎng)站放出一個密碼設(shè)置最容易破解排行榜，辦公室的小黃今天在那一驗證，發(fā)現(xiàn)果然是這樣，他的密碼就是名字＋生日，你說傻不傻？”然后觀察男朋友的神情，是比較輕松愉快還是尷尬，甚至說：“慘了，我也是這樣?！?/p>

2.時不時在談話中“套路”一下，比如在聊人生時，讓他聊聊記憶深刻的事情、最喜歡的寵物、最愛的人（十有八九會被反套路，此刻要問那第二愛的人之類）、游戲昵稱帳號……

3.如果他給過你其他密碼，可以研究一下密碼的規(guī)律，套用在新密碼上。

第二招：查庫

現(xiàn)在數(shù)據(jù)泄露不少，最好的情況是能直接查出密碼；另外，不少人有使用通用密碼的習(xí)慣，這樣的話也相當(dāng)于直接查出密碼了；通過大量的數(shù)據(jù)，也有比較大的幾率看出這個人的密碼習(xí)慣，增加猜解密碼的習(xí)慣。至于怎么查庫，用搜索引擎搜索“社工庫”就行了。

然而，這種集成的社工庫“稂莠不齊”，像“700元買到同事全套信息”這種庫還算“良心”，有些社工庫會誘使你付費，你查詢的信息也會進一步與已泄露信息綁定。當(dāng)然，目的是查男朋友的賬號和密碼，幾百塊錢可能不算什么……

第三招：利用社交網(wǎng)站漏洞獲取密碼

比如，XSS 呀，注入呀，安全網(wǎng)站上這些案例很多，當(dāng)然公開的漏洞都是已經(jīng)修復(fù)的，不過你可以學(xué)到方法自己去研究噠。

這一招需要一定的編程基礎(chǔ)，是的，現(xiàn)如今，不會寫代碼可能連密碼都找不著。

簡單來說，就是你瞅準(zhǔn)了一個社交網(wǎng)站，

通過各種掃描工具或者人工輸入來找到它的 XSS 漏洞，然后精心構(gòu)造攻擊字符串；

把這個字符串作為漏洞網(wǎng)站文本編輯框的表單值輸入提交，就會造成攻擊。手工輸入這個字符串，并提交，瀏覽器地址欄自動生成攻擊URL；

做成誘人的鏈接，讓男朋友點擊。

第四招：找到瀏覽器已保存密碼

為了登陸方便，現(xiàn)在不少瀏覽器有保存登陸密碼的功能哦，怎么查看？搜索“查看+瀏覽器名稱+已保存密碼”，然后根據(jù)網(wǎng)上的方法一步一步操作就行了。

前提是，男朋友設(shè)置了保存密碼，而且，你需要在男朋友不在家時，在他的電腦上偷偷操作。但是，講真，你有男朋友的開機密碼嗎？如果你都能用他的電腦，似乎去找他的密碼就沒什么必要了，除非你想長線操作，長期監(jiān)督。

第五招：放一個鍵盤記錄器

實在不行寫個鍵盤記錄器放他電腦上運行呀，輸入了什么全部發(fā)送到你郵箱。

萬萬沒想到，放一個鍵盤記錄器在男朋友電腦上，原來是最難的——如果你能打開他的電腦，直接安裝除外。

第六招：釣魚

本來釣魚也應(yīng)該是屬于社工的，但是上面講的社工主要就是一些面對面的心理戰(zhàn)術(shù)了?！吧洗我黄鸪鋈ネ娴恼掌呀?jīng)整理出來啦，“去看看吧。http://XXX.cn”這樣的消息收到過沒？點開鏈接發(fā)現(xiàn)是某空間要求輸入賬號和密碼的地方，嗯，和正版一模一樣哦，可是你看看鏈接啊，鏈接不對啊喂，這就是釣魚咯。

首先，你需要做一個和正版一模一樣的釣魚網(wǎng)站，當(dāng)然，這個社交網(wǎng)站可能在網(wǎng)上有源代碼可以抄。然后，需要購買一套釣魚工具。

第七招：編寫一個美美的木馬程序發(fā)過去

知乎上也曾有一個高票答案值得借鑒，編寫一個玫瑰花的示愛程序，植入木馬，直接發(fā)給男朋友即可。

上述技術(shù)支持均為京東安全工程師肉肉口述，雷鋒網(wǎng)編輯采寫。但是，僅為技術(shù)理論探討，肉肉本人并不支持這些做法。為了保護另一半的權(quán)益，肉肉與雷鋒網(wǎng)編輯建議如下：

1.不在瀏覽器保存常用密碼；

2.不同網(wǎng)站設(shè)置不同密碼，尤其密碼設(shè)置不要按照常用套路走；

3.不隨便點擊鏈接，即使是對象發(fā)過來的，有技術(shù)基礎(chǔ)的童鞋，可以技術(shù)反制，當(dāng)然后果自行承擔(dān)，比如，被罵、被分手……雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))概不負(fù)責(zé)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。