微信、支付宝都出了大新闻，斗地主还差一个你

都快过农历新年了，谁家都怕出幺蛾子，有的是大新闻，有的却害怕大新闻。

不信，你看——

本周关键词：小程序发布 |  支付宝漏洞 |  剪刀手拍照指纹泄密 | 浏览器自动填充漏洞

社交网站账号密码

一、小程序的发布与担忧

1月9日，很多人的朋友圈被小程序刷屏了……一边是张小龙发在朋友圈野心勃勃地向乔布斯致敬，一边是吃瓜群众把小程序玩得不亦乐乎。小编同时也搜集到一波体验（吐）感受（槽）。

小程序有这些槽点：小程序找起来还是很困难；微信小程序加载耗费流量，加剧微信耗费的内存，所以整体对内存的占用并不比原生APP低；虽然微信小程序重新构建了架构，不再采用H5的架构，提升了加载速度，但总体加载速度依然低于原生 App，影响用户体验。

小编宅客频道本着看热闹不怕事大的原则，决定探寻一个重要的问题：黑客有没有可能通过微信小程序的漏洞，偷偷地用你的微信给他发一个大红包？

为了搞清这个问题，小编咨询了几位黑客大牛，整理回答如下：

小程序改变了业务前端实现的形式，但是基本的业务没有变化。所以对于小程序服务商而言，有两方面风险依然存在：Web接口的漏洞。例如 xss、csrf、各类越权等等。这类是服务构架本身的漏洞。业务功能的逻辑漏洞。例如：订单额任意修改，验证码回传、找回密码设计缺陷等等。这些也是后端服务本身的漏洞。

传统的 App 客户端，由于代码比较复杂，体系比较大，经常存在很多漏洞。现在，由微信提供接口，服务商只需要调用微信的接口就可以实现服务功能。这使得以前针对 App 客户端的攻击行为失去了对象。

小程序跑在微信中，以前人们关心 App 客户端手否存在漏洞，现在人们需要关心微信是否安全了。

由于微信主程序会通过 JS 接口向小程序暴露规定的服务。如果小程序可以获取到规定服务外的信息（比如：用户的钱余额等）即是信息泄露。

总之，可以将微信理解成浏览器，将小程序理解成网页。如果执行小程序可以在微信中执行任意代码，就是传统意义上的远程代码执行。

例如：攻击微信；实现小程序之间的跨站攻击；攻击操作系统。

所以，我们需要担心黑客通过微信小程序盗走我的红包吗？目前看来，没这个必要。

根据以往的经验，腾讯在自身产品的安全性上，会投入巨大的精力。而对于皇冠级产品微信，相信腾讯更是不敢有丝毫疏漏。就在小程序退出的当天，TSRC（腾讯安全应急响应中心）也发布了英雄帖《微信小程序如约而至，安全需要你的守护》，宣布即日起到2017年1月20日，“重金”收集有关微信小程序的漏洞和威胁情报。

二、支付宝曝漏洞，熟人可以改密码

小编在上班路上忽然收到了一条支付宝验证码的短信，察觉到异常后立刻打开了支付宝客户端，结果被吓出了冷汗：

他发现自己的支付宝账号竟正被别人登录，随即他收到一条朋友发来的微信消息：

我刚才用网上流传的“支付宝致命漏洞”来重置你的登录密码，竟然成功了！你还不知道吗？朋友圈都传开啦！

支付宝漏洞？小编随即打开朋友圈，发现已经有很多网络安全圈内的朋友都转了一条名为“支付宝惊现致命漏洞，快解绑你的银行卡”的报道。

报道中称，有网友发现支付宝在登录方式上存在致命的逻辑漏洞，导致熟人之间可以相互登录对方的支付宝账号，流程大致如下：

进入「忘记密码」界面后，选择「无法接受短信」，这时候会出现两个相关问题：一、在9张图片当中找出你认识的人 ；二、选择与您有关的地址。

只要成功答对这两道问题，就可以重置该支付宝账号的密码，并且在登录后可以正常使用免支付密码的快捷支付功能，直接使用对方支付宝中的资金。

很快，随着该消息在朋友圈内的传播，越来越多的人表示自己收到支付宝登录验证短信，以及相关的账号异常提醒。许多人开始用身边朋友的支付宝账号来尝试复现该漏洞。

有人表示，周围已经有不下十人成功登录了身边朋友的支付宝账号，甚至有网络安全高手也中招了，由此他判断此次问题可能非常严重。

小编在对周围朋友的支付宝账号进行了大约7~8 次尝试后，成功重置了自己女朋友的支付宝密码，这是在双方十分了解，知道对方认识的人、购物记录和家庭住址等情况的前提下实现的。虽然结果确实令人惊讶，但成功率并没有网上说的那么夸张——“陌生人有五分之一的机会登录你支付宝，熟人有百分之百的机会登录你的支付宝”。

在测试中我们发现，两个测试题会随机出现“你认识的人”、“和你相关的地址”、“你曾经买过的东西”等不同的问题，只要答错一两次，该种方式就会被屏蔽，只允许使用其他方式找回密码，并且其他的方式也会在尝试失败后逐渐被屏蔽，这似乎触发了支付宝的某种安全机制。

在多次试验后，小编发现自己无论使用谁的支付宝账号，都无法再使用之前那种通过相关信息来重置密码的方式。

至上午10点左右，周围不少在测试该漏洞的朋友也表示自己测试失败，只有在自己的常用设备下才能触发相关消息找回。有安全从业者表示：“支付宝响应很快，据说目前已经对风控进行了调整。”

三、剪刀手拍照会被盗指纹？表示不相信！

据人民网消息，日本国立信息学研究所教授越前功（Isao Echizen）日前在接受日本新闻网（ NNN）采访时指出，如果拍照时，光线明亮，恰巧焦点对准指纹，就可以通过照片复原其指纹信息。如果由此制作出人工手指“义指”，便可冒充本人登录各种指纹识别的终端，因此拍照时要慎用“剪刀手”。

越前功在实验中采用的照片是由市面销售的 2040 万像素数码相机所拍摄，对该照片进行图像处理后，得到了指纹数据。距离镜头1.5米拍摄的照片，指纹可以清晰地呈现出来，距离 3 米处则可以判断出大致模样。因此越前功表示，距离3米处拍摄的照片存在被盗取指纹的可能性，并且“技术方面门槛并不高，谁都可以轻松处理”。