盗刷者可能利用免密支付漏洞

目前，苹果手机提供的付款方式包括支付宝、微信支付、银行卡、快捷支付等。而支付宝的免密支付是指，在特定场景下，在预设额度内，使用支付宝付款每笔付款无需输入密码，即可完成交易。

但是，每日经济新闻（微信号：nbdnews）记者点击支付宝免密扣款的协议内容时，并未看到有关日付款授权额度及日授权次数的详细介绍，只有一段模糊的描述：“基于风险的防范与控制，支付宝会对您选择的不同扣款渠道的付款额度做出不同的控制，日付款授权额度及日授权次数，均以支付宝向您具体公告的为准。若超过该限额的话，将会扣款失败，无法完成支付。”

对此，猎豹移动安全专家李铁军向每日经济新闻（微信号：nbdnews）记者分析称，被盗刷的原因有两个条件：第一，苹果ID没有开通双重验证，致使账号被盗；第二，受害用户签约过免密自动扣款协议，不管签约的是支付宝、还是银行卡、还是微信支付。

在李铁军看来，除非破案，否则消费者很难得到赔偿。而免密支付虽然足够方便，但一次授权同意后，就持续生效，这个还是有风险的。李铁军建议用户，应该立刻开通App ID的双重验证保护，防止账号再次被盗；立刻关闭App Store使用免密支付，不管这个免密支付关联的是银行卡、微信、还是支付宝。

虽然苹果盗刷问题此前也发生过，但今年8月、9月明显增多。据李铁军推测，“可能有大规模撞库、洗号攻击出现。而签约免密自动扣款协议是跟App ID绑定的，就算换了设备登录，绑定关系依然有效，因此可能资金被盗刷。尤其是游戏充值渠道，历来都是黑产最爱的洗钱渠道。”

多位用户告诉每日经济新闻（微信号：nbdnews）记者，被盗刷后，自己取消了支付宝、微信支付对苹果手机的免密支付权限。

今日（10月17日）凌晨，支付宝官方微博对此事给出了回应：支付宝已经多次联系苹果公司并推动其尽快定位被盗原因，提升安全防范水平，并彻底解决用户权益损失的问题。苹果公司回复已在积极解决。

相关报道: