iOS 越狱可能会导致一系列的安全隐患，但是现在没有越狱的 iOS 也不够安全了。乌云网 (WooYun) 漏洞平台上以为 ID 为蒸米的用户发表文章称系统级 URL
Scheme 设计漏洞，利用整个漏洞可以在没有越狱且运行最新 iOS8.2 系统上劫持微信、支付宝、京东、美团等客户端的帐号密码，文章中还进行了利用该漏洞劫持微信、支付宝密码的视频演示。
作者介绍该漏洞是 iOS 系统漏洞，和支付宝、微信等 app 无关，其他应用同样会受到影响。
漏洞原因：iOS 的一个应用可以将其自身&绑定&到一个自定义 URL Scheme 上，该 scheme 用于
从浏览器或其他应用中启动该应用，iOS 官方说明中仅注明系统程序的优先级高于第三方程序，但是同一种 URL
Scheme 的第三方程序的优先级则没有加以限制。具体使用中第三方程序的优先级受到 Bundle
ID 的影响，黑客可以构造 Bundle ID 来劫持 IOS 系统调用相关的 app 去处理使用 URL Scheme 的请求。
在视频演示中，安装的 FakeAlipay
应用伪装成支付宝，通过 URL Scheme 劫持了美团与支付宝之间的支付流程，在用户毫无意识的情况下获取了用户的帐号和支付密码，并完成了支付。在这个过程中支付过程完全被控制，黑客甚至可以在替换订单之后仍可完成支付。
在使用微信支付时过程相似，不同的是微信需要手动输入 6 位数的支付密码，但通过伪造登陆界面，同样能获取到微信的帐号密码。
这个漏洞除了可以被第三方市场安装的 APP 利用，由于苹果在这方面的审核并不严格，在 Appstore 上的应用也会被劫持。第二段视频便演示了 Google
Chrome 的 URL Scheme 被一个名为 BASCOM Browser 的软件劫持的情形，该软件是通过 Appstore 下载。
最后作者提出了解决方法，苹果可以通过限制 Bundle ID 的滥用来保证 URL Scheme 的安全，而第三方软件则需要通过增加安全检测来防止自身的 URL
Scheme 被劫持。
iOS 的安全神话已经被打破，但由于 iOS 的封闭，安全工作主要还需要苹果来完成，第三方的 iOS 安全软件也面临着升级，用户在使用过程中更要提高警惕，保护自身的财产安全。
········
Copyright (C) 　深圳市前瞻商业资讯有限公司　All rights reserved.　粤ICP备号-2　增值电信业务经营许可证：粤B2-您的位置：
微信支付现延迟：充手机话费48小时才到账
发贴人：62.178.255.*发贴时间：【】[]
&& ()&& ()
据经济之声《天天315》报道，让我们来假设场景，一天，我们到小餐馆吃饭，吃饱喝足一抹嘴大喊一声买单，服务员到前台把点菜单打印后拿到我面前，然后这个单子上除了我点的菜和总价以外，还有二维码，我拿起手机微信扫一扫然后用微信支付把钱给付了，这是件多酷的事情！商家还需要什么POS机？
当然微信支付真的要成为支付王者还有很多问题要解决，除了培养用户习惯问题外，还要解决线下商家资源、餐馆系统改建等问题。&& ()&& ()&& ()&& ()&& ()&& ()&& () 公众账号又圈来一大批的线下线上企业商家，未来一旦商家逐步接受这种付款方式，将进一步推动微信用户来使用应该说，微信支付的未来一片光明
但是消费者在利用微信支付的时候，还是遭遇了问题最近，《天天315》节目组接到武汉消费者齐先生的投诉，说他在利用微信支付手机费用的时候就遇到了问题
齐先生：我昨天手机停机了，然后我充了一笔话费，当时没有充值成功已经扣费了，但话费没到位昨天打电话给腾讯微信客服，说昨天是建设银行网络故障问题，因而导致这个情况，今天话费就到了
齐先生说，他和微信客服联系，对方说，是因为款项接收端的银行系统出现问题，所以造成延迟，应该在24小时之内可以完成支付，如果支付不成功，钱款将会返回到支出银行的账户上
齐先生：这确实是他们公司网络的故障
记者：它是会不到帐，还是会延迟到账？
齐先生：延迟到账，晚上10点钟，会充到我需要交手机费的那个账户如果没到账，钱就返回到我的农行卡里面
今天上午，记者再次致电齐先生，了解他的钱款是否顺利支付齐先生回复，钱款已经顺利的支付了手机的费用
昨天下午，记者开始联系腾讯微信产品部，希望他们能够在节目中为用户做微信支付的普及工作，尤其是它能如何便捷的完成支付，以及会如何保护消费者的个人信息安全和账户资金安全你来我往的联系一直持续到晚上11点，最终腾讯公关以微信产品部领导都在出差，无法接受采访以及审核文字为由拒绝了记者的要求他们只是告诉记者，将尽快调查用户的问题
文思海辉金融事业部副总裁徐志强指出，支付本质上来说用的还是互联网技术，这个互联网技术有别于我们前几年的手机支付手机支付基本上都会有运营商的卡等运行介质，而支付的广义内涵上包括手机支付，但是它扩展了，让微信、新浪微博等这些服务实体介质也可以做支付
徐志强表示，就支付技术本身来讲，充值也好，还是去餐馆的消费支付也好，其实它的核心本质其实是“SMAC”，“S”(Social)就是社交商圈，社交商务，既是产品提供的生态圈，也有消费者线上线下的对接“M”(Mobile)是技术“A”(Analytics)是大数据的分析，大数据的分析既可以给消费者习惯和产品营销提供支持，同时也可以防范风险，作出在线的事实干预最后“C”(Cloud)就是云计算，中国有6亿的手机用户，用云计算来支持大量的数据使用，这些都是它的技术支撑
微信支付为什么产生延迟支付？徐志强认为，微信跟支付宝比起来有差别，这个差别更多的应该是在签约银行的数量上支付宝可能在签约银行方面会更多一点，所以这种延迟支付的现象可能会少，因为它是两家银行直接由支付宝做快捷支付了而微信的话，签约的银行数小，偶尔会产生延迟支付的情况
经济之声特约评论员赵占领、中国消费者律师团律师胡钢就今天的案例进行分析
经济之声：微支付、微博支付和支付宝是支付三大渠道，此前，微博、微信朋友圈中也存在商品销售的信息，但是难以把微博和微信认定为第三方交易平台，为什么？
赵占领：主要是因为第三方交易平台的性质或者说职能主要包括信息的发布、包括交易的撮合，还有消费者下订单以及支付的整个过程但是之前的微博还有微信朋友圈对商品的推销，更多的是停留在第阶段，也就是展示商品，而且这种商品的信息是以链接的方式体现出来的，当你点开之后，它会跳转到第三方平台，之后的交易过程都在第三方平台上进行这样的话，微博或者微信朋友圈发挥的作用仅仅是信息平台的建设按照现在的新消法关于第三方交易平台的制定，还有现在修改的《食品安全法》的第三方交易平台，还有工商总局、网络交易管理办法关于第三方交易平台的规定，都无法直接适用于之前的微博还有微信朋友圈
经济之声：开通支付功能之后，比如说像微博支付，个人用户也可以发布商品信息并且进行收单，这是不是意味着，由于支付功能的介入，微博、微信也终将会成为第三方网络交易平台，并承担网络交易平台相应的法律责任？
胡钢：这种趋势比较明显微博、微信本身是网络社交工具，特别是微信的朋友圈中都是认识的人，在这样的情况下，可能彼此间的信任感更高在此情况下，它不断引入商家公众账号也好，个人展示也好，与相应的第三方网络销售平台的职能越来越接近，很可能未来完全具备相应的职能，所以也应该勇敢承担起相应的法律责任
经济之声：现有的支付渠道比如说微博或微信支付的大致申请流程是怎样的？
赵占领：这个流程非常简单对于微信支付来讲，它实际上绑定你的银行卡，只需要输入银行卡号、身份证号码、姓名、手机号码，在这个过程中再自己设置支付密码就OK了，连银行卡的支付密码都不需要一旦设置成功之后，你在支付的时候，只需要输入支付密码，其他的都不需要，所以支付的门槛比较低微博支付跟微信支付比较类似，只不过微博绑定的是支付宝的账号和支付宝密码
经济之声：如果说只是绑定银行卡，你自己设置支付密码，连银行卡本身的密码都不需要的话，那它的安全性有多高？
赵占领：这里面就有问题，它在方便用户，降低使用门槛的同时，确实有安全的隐患如果说你的身份证号码、姓名以及手机卡号，如果这些信息泄漏，或者被别人知道的话，其他人就可以通过伪造身份证的方式，去补办你的手机卡，补办手机卡之后他就可以按照微信支付或者支付宝支付的流程，绑定你的银行卡因为在这个过程中，尽管微博支付或微信支付有手机短信验证，但验证短信信息会发送到诈骗分子的手机上了，这样的话，整个流程基本上可以绕开真正的本人，所以也存在相应的风险
经济之声：大致会有哪些安全隐患？
胡钢：实际上是两部分的安全隐患第一部分是你的个人敏感信息的泄露比如说你的姓名、身份证号码，包括你相关的购物记录、个人的偏好等等，都可能随着互联网特别是互联网的发展，被大规模泄露出去第二类就是涉及到个人财务上的安全如果你相关的银行卡数据被泄露之后，银行卡中的资金可能会被窃取如果是你的银行卡是信用卡的话，可能会出现透支，在透支严重的情况下，有可能会被追究刑事责任
支付在带给我们便捷的同时，也带来了相应的安全风险总体来说，这些年随着互联网的发展，有关支付或者说互联网支付方面的欺诈案件确实存在，但是合格的、比较有诚信的互联网企业，采取了一系列的保障措施保障措施最有利的一点其实是所谓的责任保险，比如说微信，微信去年9月份推出微信5.0版的时候，就已经和中国人民保险的财保公司签订了协议消费者如果出现了支付的问题，我们只要提供最基本个人的信息，就有可能从保险公司获得相关的赔付，并且赔付的数额还没有封顶，这是非常重要的制度设计，应该大力推
向好友推荐本贴：&&&& 标题：《微信支付现延迟：充手机话费48小时才到账》&&&& 地址： .cn/Article/201407/showp1.html
发表您的评论
点评字数 0
?尊重网上道德，遵守中华人民共和国各项有关法律法规
?承担一切因您的行为直接间接导致的民事刑事法律责任
?本站管理人员有权保留或删除其管辖留言中的任意内容
?本站有权在网站内转载或引用您的评论
?参与本评论即表明您已经阅读并接受上述条款
?共同建立健康的网络社区，请向管理员举报不良帖子
?举报邮箱：justinmind做纯数字类微信支付密码验证 | JmFans
302 次浏览
实现效果：通过程序键盘输入密码，无光标显示，支持回删（需要隐藏显示的可以将textbox修改成password类型），一次输入最后一位后页面无刷新提示二次输入，二次输入最后一位后进行两次输入判断比对，如果相同，则进入成功页面，如果错误则重新提示第一次输入。
微信支付密码
实现主要思路：
1、采用3个变量：pwd1（用来记录本次输入的密码），pwd2（第二次输入时，用来记录上一次输入的密码），pwdcount（用来记录当前密码的位数）
2、所使用的主要函数：Concat（用来做字符串连接），Substring（用来截取指定的字符串）
3、默认pwd1和pwd2都是空，pwdcount默认0，在输入密码的时候每点击一次，则将点击的字符串拼到pwd1中所存储的string后面，并且将pwdcount+1，当pwdcount=4的时候，做判断（事实上，之前尝试了其他方式，不知道是bug还是什么的，反正始终不成功），此判断放在每个数字键盘的点击事件中。
4、数字键条件判断需要做嵌套流程是这样
PwdCount& 3
Pwd1 Concat 当前的数字
PwdCount + 1
刷新密码输入框内容
将错误提示信息内容清空 //这是为了防止上次输入时错误提示信息残留在界面中
Pwd2 = Null //说明这是第一次密码输入
Pwd2 = Pwd1 //将Pwd1中存储的第一次输入的密码，赋值给Pwd2
Pwd1 = Null //将Pwd1清空
PwdCount = 0 //将PwdCount重置
修改提示文字
刷新密码输入框内容
Pwd1 = Pwd2 //说明这是第二次密码输入，并且两次输入的密码相同
跳转成功页面
否则 //说明两次输入密码不同，需要重来
Pwd1,Pwd2清空
PwdCount重置
密码输入框刷新清空
提示文字修改
5、回退键的事件比较简单，就是把Pwd1去掉一位，重新刷新密码框，但是切记不能忘记把PwdCount也减去1
6、清空键的事件也比较简单，就是清空Pwd1变量，刷新密码框，重置PwdCount
其实这个示例并不难，就是麻烦，非常繁琐，做个示例，想用的同学拿去用。
示例下载：
更多教程请加QQ交流分享群：，欢迎关注微信公众号（justinmind）。
默默耕耘的产品牲口。
150 三十而立
150 Ba七七
105 活,该快乐
提问人 屎壳郎君-, 2周 ago
提问人 东游西荡, 2周 ago
提问人 GUDOO里, 3周 ago
提问人 永恒の琉岚, 3周 ago
提问人 GUDOO里, 1月 ago
13 5 4 3 2 2 2 2 2 1
7548 6919 6776 4188 3894 3797 3267 3087 2838 2732当前位置： &
& 评测：微信支付安全深度体验报告
评测：微信支付安全深度体验报告
&&日09:30&&中国电子商务研究中心
　　(中国电子商务研究中心讯)移动支付的便捷和高收益如“华尔街之狼”般诱人，但对“孩子”――资金安全的担心也是人们尝试移动支付的最大心理障碍，那么，移动支付到底安全不安全，“狼和孩子”可不可以兼得？以下本人以信息安全行业从业人员的亲身体验试用微信支付，对个人隐私保护、安全体验和安全性能进行全面摸底，希望能给读者们一些启示。　　春节期间微信推出了“抢红包”，身边的好多人都玩疯了，在3.8妇女节的时候身边还有好多人通过微信发红包。通过“抢红包”，微信迅速的吸引了大量用户绑定银行卡，据说绑定量达到了3000万。不管数据是真是假，但身边参与的人的确不少，媒体新闻是铺天盖地，影响力也相当大。　　本人也参与到了这场“抢红包”的游戏中，为了玩“抢红包”也被迫绑定了银行卡抢红包、发放红包。但在high过后，微博里零星的有人开始讨论起微信支付的安全问题。　　其实在微信版余额宝“理财通”推出期间，由于收益略比余额宝略高，身边就有同事朋友蠢蠢欲动想把钱转移到“理财通”，但由于是新兴产品担心微信的安全性没敢进行资金转移。　　移动支付产品的安全需求，毕竟是用户的基本需求，于是本人抱着学习和研究的态度去测试和体验了一下微信支付的相关功能，以下是本人使用过程的安全体验。　　一、微信的登录认证的安全体验　　微信支付是建立在微信之上的功能，安全性和微信本身的安全密切相关。于是本人首先对微信的登录认证机制进行了测试。　　1)用户默认保存登录信息　　微信为提升用户的登录体验，客户端默认是保存登录认证信息的，也就是说如果你登录微信后，没有进行退出操作，每次打开微信就能自动登录。因此如果有人获取到您的手机，就可以直接使用微信。有人会说“我的手机设置了密码别人拿了也用不了”。那我告诉你，如果你用的是Android手机随便下个软件几秒钟就能破解锁屏密码。如果你用的是“爱疯手机”且越狱了那和Android没多大区别，下个软件也是几秒钟的事情。有人说我没越狱那总安全了吧？我只能说不一定，网上看了一下有相关软件能实施暴力破解，只是多花点时间，本人没进行尝试，感兴趣的同学可以做个测试。　　2)用户手机号与微信绑定　　有的用户说“我使用习惯非常好，每次使用微信后都会退出”。那么，我们接着分析。微信登录和注册时，默认首选的是“手机号码”，这应该是微信刻意引导用户使用手机号码进行注册，以简化注册成本，并能通过用户手机通讯录进行好友推送(本人也是因此暴露了自己的微信小号，众多联系人通过微信推送加我好友)。大多数的用户的确都乖乖的通过手机号码注册使用微信了。在这里就产生了一个问题，如果手机丢失、手机号码弃用、非正常途径补办卡、SIM卡复制、短信劫持等都会对微信安全造成威胁。因为可以通过短信验证取回登录密码，同时微信还存在一种登录方式“短信验证码登录”，用户可以通过手机短信验证的方式进行登录。　　通过其它方式(如QQ号码)登录微信的，在使用过程中一不小心被微信勾搭绑定了手机号码，也就可以直接通过手机号码进行登录。这时就可以使用手机号码通过短信验证方式登录。　　用户能做到随时退出微信，又不是手机号码注册，且没绑定手机号码，估计还是挺少的。　　3)微信登录认证方式总结　　在微信的“设置-我的帐号”中有个奇葩功能“独立密码”，如果你是使用QQ号登录的，你就可以为微信设置一个“独立密码”，这样登录微信既可以使用原来QQ的口令登录，也可以使用独立口令登录，这是要提升用户的体验吗？没太理解产品经理的意图。反而增加了帐号的风险，用户需要确保两个口令的安全，攻击者如果通过某种途径获取到一个口令就可以登录微信。　　微信为防止盗号，对新客户端使用做了限制，如果是新客户端首次登录，输入口令后还需判断识别2位自己的微信好友头像方可登录。但如果盗号者盗取了其QQ号码，通常QQ好友信息和微信类似，多猜几次基本能猜中。另外如果QQ用户还没有登录过微信或微信好友低于2位则直接可进行登录，绕过该控制，对于那些QQ号没激活微信的就可以直接登录。　　同时微信还有一个“绑定手机号”的功能，如果绑定手机号，则每次登录都需要短信验证，这个对于盗号还是能起到比较好的防御作用的，在测试过程中发现了微信的又一个流氓行为，即使不勾选“通过手机号到我”，但还是把我的手机号推送给我的通讯录好友，存在欺骗用户的情况。部分用户为了自己的隐私可能就不会开启该功能。　　本人把微信登录时的认证方式整理了一下，如下：　　　二、支付模块登录认证安全体验　　1)缺少隐私安全问题　　微信支付的相关功能都在“我的银行卡”功能模块中，模块中涉及这个模块虽然是和支付相关的模块，但并不支持设置单独的口令，同时也没有类似手势密码的功能。如果用户已经绑定银行卡，且使用了“理财通”等产品，用户登录微信后就可直接查看到其相关交易信息和资产状况。例如某人要是刚入手了一个新款手机肯定有众多粉丝会要求拿过去耍一耍，这时一不小心你私房钱“理财通的资产”就泄露了，要是有网上购买情趣用品习惯的人可就糗大了。迅雷、云盘都支持手势密码和单独口令，微信做为即时通讯软件又附带支付功能，隐私信息众多，为嘛就不考虑一下呢？随着微信接入商的增多，敏感信息必然越来越多，强烈建议微信添加一个手势密码。　　2)绑定银行卡强制记录个人信息　　微信在绑定银行卡时，如果是首次绑定，需设置支付密码。如果已绑定或曾绑定过银行卡，则添加新的银行卡需先输入支付密码后方可进行绑定操作。信用卡和储蓄卡两类卡都可进行绑定，但需提供的信息稍有不同。储蓄卡绑定，需提供持卡人姓名、身份证号、卡号、预留手机号码、短信验证码。信用卡绑定，不同银行的需提供的信息略有不同，大多数卡需提供持卡人姓名、身份证号、卡号、信用卡有效期、安全码、预留手机号码和短信验证码等信息。　　【储蓄卡绑定】【信用卡绑定】　　首次成功绑定银行卡后，你的姓名、身份证号就会被微信记录，且与该微信帐号绑定不能更改。首次绑定有点类似实名认证，为鼓励用户绑定银行卡，在绑定过程中微信并未进行相关提示和告知，此做法导致众多人账号错误的被绑定了非本人的个人信息，且不能更改(腾讯客户回复暂时不提供更改服务)。　　3)支付密码的安全问题　　由于微信支付模块不支持设置单独的口令，也没有类似手势密码的功能。用户在进行支付时，输入支付密码后即可完成支付，这时支付密码的安全就变成了最后的一关。　　【口令强度】用户的支付密码是在首次绑定银行卡时提示设置的，且口令只能设置为6位数字，复杂度较低，用户需注意窥视、口令猜解等风险，特别是有将口令设置成简单数字、电话号码、生日等弱口令的用户。　　【口令修改】用户修改支付密码有两种途径，一是输入原密码，二是重新绑定银行卡修改支付密码。　　重新绑定银行卡需姓名、身份证号、卡号、预留手机号码、短信验证码等信息。因此如果用户的手机丢失而短信、照片、聊天记录中刚好留存相关个人信息，或者用户身份证、银行卡、手机同时丢失，则存在支付密码被重置的可能。现在现在手机已经做为日常沟通的首要工具，用户难免会在微信、QQ、短信等使用过程中提及身份证、银卡号登信息，例如汇款、购买机票/火车票等等所以该风险是确实存在的。　　三、微信钓鱼和诈骗　　微信做为手机端软件，大家很多在电脑上养成的安全习惯，到了移动端又突然消失了，用于对于盗号诈骗、钓鱼链接等防范意识相对较低。在抢红包期间伪造的微信红包让很多人扑了个空，但要如果是恶意链接，则将是一大片人中招，微信需在这方面加强相应的安全措施和用户教育。　　四、关于赔偿　　微信与中国人保财险(PICC)达成合作，并抛出“你敢付，我敢赔”的口号，我看了一下微信支付的两个声明条款，具体的大家自己解读吧。　　五、结束语　　虽然微信的账号控制存在一些问题，但是用户如果能够保管好自己的手机，保护好账号口令以及取回密码所依赖的措施，同时保持良好的安全意识，总体来说微信还是比较安全的。　　对于安全意识和安全习惯，以下是笔者的一些小建议供参考：　　1.为微信设置强健的口令，同时注意QQ的账号安全；　　2.手机中不存储个人信息，日常生活中注意不泄露自己的个人信息；　　3.为手机设置解锁口令，不随意将手机借用他人；　　4.保管好自己的手机，防止丢失，丢失手机第一时间挂失SIM卡，锁定账号，如有必要设置PIN密码；　　5.不在微信轻易点击陌生人发送的链接，防止钓鱼；　　6.不随意ROOT和越狱，注意辨别山寨App，不安装来源不明的App；　　7.安装必要的防病毒等安全软件。（来源：推酷 编选：中国电子商务研究中心）
【】【】【】【】【】
「关键字」
& &（1）凡本中心注明“来源：中国电子商务研究中心”或带有中国电子商务研究中心水印LOGO的所有文字、图片、音频、视频及其他任何形式的作品 ，其版权均属中国电子商务研究中心所有，任何媒体、网站或个人未经本中心协议授权不得转载、链接、转贴或以其他方式复制发布/发表。已与本中心协议授权的媒体、网站，在下载使用时必须注明“稿件来源：中国电子商务研究中心”，违者本中心将依法追究责任。
& &（2）转载或引用本中心内容必须是以新闻性或资料性公共免费信息为使用目的的合理、善意引用，不得对本中心内容原意进行曲解、修改，同时必须保留本中心注明的“稿件来源”，并自负版权等法律责任。
& &（3）对于不当转载或引用本中心内容而引起的民事纷争、行政处理或其他损失，本中心不承担责任。
& &（4）凡本中心注明“来源：xxx（非中国电子商务研究中心）”的文/图等稿件，均转载自其它媒体、网站与机构，其转载目的在于传递更多信息，并不代表本中心赞同其观点和对其真实性负责，请读者仅作参考，并请自行核实相关内容，如其他媒体、网站或个人从本网下载使用，必须保留本网注明的“稿件来源”，并自负版权等法律责任。& &（5）关于本中心发布的用户投诉稿件，信息均由用户通过本中心投诉通道提供，本中心不对其真实性负责，若内容真实性有误，请与本中心联系，本中心将在核实后进行处理。& &（6）对不遵守本声明或其他违法、恶意使用本中心内容者，本中心保留追究其法律责任的权利。& &（7）如因作品内容、版权和其它问题需要同本中心联系的请发送相关内容至邮箱：）& &此版权声明解释权归中国电子商务研究中心所有。
　　10日，交通运输部公布了《关于深化改革进一步推进出租汽车行业健康发展的指导意见(征求意见稿)》和《网络预约出租汽车经营服务管理暂行办法(征求意见稿)》，进行为期一个月的公开征求意见。　　意见和办法对网约...
行业热点：
曝光专区：
有以下事宜，请联系：&&
有以下事宜，请联系：
有以下事宜，请联系：
以下企业，请联系：
以下企业，请联系：
以下人士，请联系：
行业/频道：
产品/服务：
数据/研究：
导航/平台：
| | | | | | | |
中国电子商务研究中心 版权所有帮助中心 - 财付通