这事儿得从头唠,上个月我二舅非让我帮他看看那个金长江的炒股软件,说是邻居老张头用这个亏了不少钱,怀疑是软件有漏洞。我寻思着这玩意儿现在用的人挺多的,那就亲自试试水。
第一步:下载就跟防贼似的
打开官网下载财智版,好家伙,光安装包就得输三回验证码。装到一半突然跳出个提示框,非要我开全盘访问权限,说是什么“提升交易流畅度”,这理由听着就膈应人。我立马点了拒绝,结果它直接卡死在进度条那儿不动弹了,只能咬牙把权限给了才装上。
第二步:登录比开保险柜还费劲
注册完账号傻眼了,那破密码要求又是大写又是符号的,折腾半小时才蒙对。登录时候更离谱,除了普通密码还要手机验证码+手势密码。有天我在地库信号差,死活收不到验证码,急得差点把手机砸了——股票涨跌可不等你!
真正让我犯嘀咕的是转账操作:- 往账户里充钱得输两次银行卡密码
- 提现时候突然弹出个没听过的合作银行验证页
- 绑新银行卡要对着摄像头念数字,跟拍反诈片似的
第三步:翻后台发现猫腻
有天半夜改止损单,无意间按了Ctrl+Alt+D,界面底部突然闪过一行小字“调试端口开启”。我这暴脾气上来了,直接找搞安全的兄弟要了检测工具。抓包一看差点没跳起来——每次查询持仓时,软件居然把我自选股列表连带账户前缀全传到某个第三方统计域名!虽然传的是加密字符,可这操作就跟把家门钥匙藏邻居花盆底下似的,膈应!
第二天打客服电话问这事,对面妹子背课文似的念叨:“我们有256位SSL加密...服务器经过等保三级认证...” 听得我直上火:“别整这些虚的!我就问为啥要把我自选股送别人家?” 那边卡壳半分钟,来了句“这是行业通行做法”。
折腾出这么个
- 防外人确实严:黑客想从外面攻破得脱层皮
- 防自己人手太松:后台日志谁都能看,我兄弟说要是内鬼搞事,客户隐私早漏成筛子了
- 软件自己就是漏洞:更新时候偷偷下广告插件,有回把我杀毒软件都搞崩溃了
前天跟二舅吃烧烤时候我说:“您要真想用这软件,记着别往账户里放大钱,提现密码单独设,看到系统公告说有升级——千万别点确认!等过半月再说!” 老头听完整个人都懵了,啤酒沫子顺着杯子往下淌:“我花钱用软件还得当侦探?”
下午刚把测试数据打包发券商邮箱,晚上就接到经理电话,开口就送三套炒股教程。我直接怼回去:“有这功夫不如把调试端口封了!” 对面支吾半天来了句:“感谢您的宝贵建议...” 得,白忙活。