V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Slienc7
V2EX  ›  支付宝

手机版 AlipayAPP 的声波支付可以不联网支付,且无需确认

  •  
  •   Slienc7 · 2015-10-11 16:42:56 +08:00 · 5258 次点击
    这是一个创建于 3336 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发现:

    1. 学校的里的自动售货机支持 Alipy 的声波支付,很久之前就发现支付时根本不用确认,只要放出声波,售货机就可以自动支付完成。
    2. 昨天手机欠费断网,没开 Wi-Fi 的情况下,发现竟然也可以支付。
    3. 推测声波应该是类似于支付密码一样的作用。

    问题:

    在售货机旁偷偷装个设备接收声波,是不是就可以无限制任意刷去别人支付宝的钱了?(未测试大额金额)
    这和把自己的 Alipay 账号密码在公开场合大声喊出来有何区别?

    安全性从何谈起?

    第 1 条附言  ·  2015-10-11 18:00:08 +08:00
    另附一个刚刚通过 95188 客服进行的测试:
    输入身份证号码、告知客服账号绑定的手机号码(不限制去电号码是否为账号绑定号码),即可让客服开启和关闭无线支付功能(即 AlipayAPP 支付)。
    这毫无疑问是权限控制混乱的表现,支付宝敢在网页上开启这个功能吗?可能不到几小时就会有人利用手上掌握的个人身份证号码和手机号码自由的把所有人的无线支付开启关闭都修改一遍。那么电话上为什么就有这个功能?
    第 2 条附言  ·  2015-10-11 19:20:27 +08:00
    ** 手中没有两台设备可以测试。哪位方便的可以用两台个人设备测试一下个人设备支付是否需要确认。 **
    80 条回复    2015-10-12 15:50:28 +08:00
    miyuki
        1
    miyuki  
       2015-10-11 17:06:29 +08:00 via Android
    阿里大数据确保您的资金安全 斜眼笑
    Slienc7
        2
    Slienc7  
    OP
       2015-10-11 17:12:02 +08:00
    @miyuki
    我是不是该改个标题叫一台录音机带来的千万收益
    DreamCMS
        3
    DreamCMS  
       2015-10-11 17:13:25 +08:00
    其实第一位在支付宝看来不是安全,而是便捷,因为大都数普通人要的就是方便,安全它们根本不去想的,只要方便了,它们就觉得牛逼,而我们程序员看到是逻辑上不安全因素,在支付宝看来,就算如何如何,老子赔得起。

    这个类似于扫码支付。一样是这个道理
    Slienc7
        4
    Slienc7  
    OP
       2015-10-11 17:18:07 +08:00
    @DreamCMS 这个比扫码支付更不靠谱,扫码好像要确认。且拾音设备比起录像设备更易搭建。
    简易思路:拿个高保真的录音机放到那个售货机旁一整天,然后再拿回来放出来用支付宝。
    简易思路二:拿个蓝牙话筒放那,接用手机 B ,然后 B 外放,手机 A 开支付宝接收。
    Slienc7
        5
    Slienc7  
    OP
       2015-10-11 17:19:20 +08:00
    @xgowex 到底会不会赔偿真难说,怎么证明是非正常支付?
    uglyer
        6
    uglyer  
       2015-10-11 17:30:54 +08:00 via iPhone
    测试成功,但是录制音频的识别不了,可能环境太嘈杂。
    shiny
        7
    shiny  
       2015-10-11 17:31:03 +08:00   ❤️ 1
    有没有考虑过声波支付可能类似安全密令,只要依赖算法,在短暂时间内才会有效。
    Syaoran
        8
    Syaoran  
       2015-10-11 17:35:19 +08:00 via iPhone   ❤️ 3
    动态密码啊,以时间戳生成的,只要时间正确就能验证成功,你手机不联网,收款机器一定是联网的。下次试试手机不联网然后调乱时间。这种密码是一次性而且有效期很短。感觉支付宝把大家弄得神经衰弱了😂
    watzds
        9
    watzds  
       2015-10-11 17:35:48 +08:00 via Android
    @shiny 不错!
    SNOOPY963
        10
    SNOOPY963  
       2015-10-11 17:42:13 +08:00   ❤️ 1
    网易将军令要联网了?一个道理。
    人家在设计的时候这点怎么会考虑不到。

    楼主应该把不联网的情况下,不同时间的声波支付都录一遍分析才靠谱啊。
    ljbha007
        11
    ljbha007  
       2015-10-11 17:50:17 +08:00   ❤️ 2
    收款方都是经过审核和备案企业 如果有盗刷情况很容易追查
    并且盗刷的钱是存在支付宝系统内的 如果用户举报盗刷是可以冻结资金的
    zcbenz
        12
    zcbenz  
       2015-10-11 17:56:17 +08:00   ❤️ 1
    试都没试过就说不安全黑的也太不到位了,稍微了解下加密相关的基础知识就知道这种支付方式很安全的。
    abelyao
        13
    abelyao  
       2015-10-11 18:04:27 +08:00 via iPhone
    终于从 7 楼开始有正经回复了,都给个赞。
    sandideas
        14
    sandideas  
       2015-10-11 18:06:33 +08:00
    这个担心有点多余吧。。肯定得加上时间参数吧。
    你录制的过了这个时间就已经不能用了。。
    Slienc7
        15
    Slienc7  
    OP
       2015-10-11 18:08:19 +08:00
    @ljbha007
    不排除微小企业盗刷大量资金卷款跑路的吧?
    这并不能解释权限问题。


    @Syaoran
    @shiny
    @sandideas
    我说的录制只是一个路人版简易方法。
    时间验证又怎么样?
    完全可以仿照售货机的方法做这样一个设备出来,然后偷偷装上去,当时就能盗刷。
    声波距离长短并不是问题,做一个加大功率接收设备过来,然后雇人带着这个设备到各种地方跑着收款,就像伪基站一样。

    @SNOOPY963
    类似的生成动态码的设备,只要自己注意完全可以确认没有其他人看到,且你说的这个算是二步认证,需要输入登录密码再验证吧。
    且我可以确认看动态密码的情况下没有人或者设备记录,我不能确认在用声波支付的时候有没有第三方设备在记录。
    sandideas
        16
    sandideas  
       2015-10-11 18:08:30 +08:00
    而且最重要的是如支付宝说的,如果盗刷了他百分百赔。那何乐而不为
    我们获得的是便利,风险却在阿里那。。
    sandideas
        17
    sandideas  
       2015-10-11 18:09:58 +08:00
    @xgowex
    应该是有备案的企业账户才能免密码支付。。
    像我们普通的两个人用声波支付也要输入金额和确认密码。。
    Slienc7
        18
    Slienc7  
    OP
       2015-10-11 18:10:15 +08:00
    @uglyer
    思路如下:
    可以尝试自己写 APP 放手机上控制支付宝,然后开启支付宝,在收到声波请求后自动完成支付。
    sandideas
        19
    sandideas  
       2015-10-11 18:11:07 +08:00
    @xgowex 盗刷这个可行性不高吧。。你刷了一个亿,但是实际上是刷了一个亿的支付宝的数字。。你又不能提现。。必须得支付宝确认交易无误了才会让你提现吧
    ljbha007
        20
    ljbha007  
       2015-10-11 18:12:49 +08:00
    @xgowex 刷出来的钱在支付宝系统内的 接到用户举报 支付宝可以冻结资金的 取不出来
    wy315700
        21
    wy315700  
       2015-10-11 18:14:34 +08:00
    声波只是一个信道而已,和二维码没什么区别,该加密还是加密的,,,该一次密码也要一次密码
    Slienc7
        22
    Slienc7  
    OP
       2015-10-11 18:26:11 +08:00 via Android
    @wy315700
    二维码需要确认吧。如果二维码不变,你敢把它打印出来贴墙上吗? 这和声波是一个道理,它是外放出来,且无需确认。


    @ljbha007 @sandideas 大概来说,金额越小人工校验概率越低。该支付方式付款结束后也不会显示金额或弹出通知,有几个人能做到实时查看账单,及时举报?时间拖的越久跑路提现可能越高。
    这是金额和概率问题,并不能因为金额和概率而忽视可能出现的安全问题吧?
    Slienc7
        23
    Slienc7  
    OP
       2015-10-11 18:28:19 +08:00 via Android
    @uglyer 手中没有 2 台设备测试。请问测试成功是指在售货机之类企业设备还是个人设备上不用确认即可支付?
    shiny
        24
    shiny  
       2015-10-11 18:28:57 +08:00
    @xgowex 首先你的设备要有权限接入支付宝服务。你手机离线但售货机不是离线的。
    jerryjhou
        25
    jerryjhou  
       2015-10-11 18:28:58 +08:00 via Android
    你把风控吃了吗?这种小额支付根本就没法靠盗刷赚钱, 10 次内就得露陷,一次最多 200 ,连设备成本都捞不回来,赔钱买卖谁干啊(就算有 SB 干也是小概率事件,保险公司完全可以负责)
    zzNucker
        26
    zzNucker  
       2015-10-11 18:42:37 +08:00
    楼主真的是想的太简单了。。。。
    marenight
        27
    marenight  
       2015-10-11 18:50:31 +08:00
    设备是联网的
    zts1993
        28
    zts1993  
       2015-10-11 18:51:23 +08:00
    高科技风控你们懂个屁
    RqPS6rhmP3Nyn3Tm
        29
    RqPS6rhmP3Nyn3Tm  
       2015-10-11 18:56:41 +08:00 via iPad
    在不了解的情况下要理智分析,直接开喷不好。
    个人觉得是类似 TOTP 之类的算法,没有经过验证
    line
        30
    line  
       2015-10-11 18:58:34 +08:00
    @marenight 通过声波共享网络也不是不可能
    lean
        31
    lean  
       2015-10-11 19:01:38 +08:00 via Android
    身边被坑的,没一个得到赔款的
    cjjia
        32
    cjjia  
       2015-10-11 19:04:25 +08:00
    楼主先把自己支付宝的声波录好拿去测试一下吧,在室内超安静的环境下。
    wy315700
        33
    wy315700  
       2015-10-11 19:05:17 +08:00
    @xgowex 每次声波都不一样吧,,
    Slienc7
        34
    Slienc7  
    OP
       2015-10-11 19:10:40 +08:00 via Android
    @wy315700
    @cjjia
    @line
    该问题回复在 15 楼


    @marenight
    @shiny
    Slienc7
        35
    Slienc7  
    OP
       2015-10-11 19:11:46 +08:00 via Android
    @marenight
    @shiny
    确实我没说清楚,设备当然联网的。
    wy315700
        36
    wy315700  
       2015-10-11 19:12:01 +08:00
    @xgowex 你可以去试试看,
    Slienc7
        37
    Slienc7  
    OP
       2015-10-11 19:14:01 +08:00 via Android
    @wy315700
    @BXIA
    只提出理论可能性,没有实验条件

    不存在喷不喷的问题,只是最近安全问题频发,提出质疑而已
    jinyang656
        38
    jinyang656  
       2015-10-11 19:15:09 +08:00
    微信刷卡(扫码支付)也是一样的,不需要联网,有一次去超市用微信支付,完了发现没联网,赶紧把网络打开,才收到付款成功的消息。
    cdredfox
        39
    cdredfox  
       2015-10-11 19:24:50 +08:00
    1 ,声波采样需要精度很高的录音设备才能完整录下来,进行回放。
    2 ,声波录下来没用,背后技术类似于平常大家看到的银行 token 一样,声波只是载体,背后逻辑不多说。
    3 ,条码(扫码支付)原理一样,只是传输载体不一样。
    xfspace
        40
    xfspace  
       2015-10-11 19:26:12 +08:00 via Android
    时间不同,声波也不同。而且只能用一次,如果当时在旁偷声音,得考虑音量。
    wy315700
        41
    wy315700  
       2015-10-11 19:26:47 +08:00
    @xgowex

    对于安全来说,最重要的不是说这个功能做的多安全,
    而是在不影响使用的情况下尽可能的以最少的代价去做安全。
    因为越安全,代价越大的。
    现在声波支付刚起步,没有人有能力入侵,等能入侵的人多了,也许就会换一种支付方式了

    个人见解
    RqPS6rhmP3Nyn3Tm
        42
    RqPS6rhmP3Nyn3Tm  
       2015-10-11 19:32:24 +08:00 via iPad
    @xgowex 实验很简单,录音录下来,测试录下来的是否可以支付成功就可以了
    line
        43
    line  
       2015-10-11 19:39:03 +08:00   ❤️ 1
    @xgowex 我觉得仿照提款机比较容易
    wsy2220
        44
    wsy2220  
       2015-10-11 19:40:18 +08:00 via Android
    扫码支付也是一样的啊,有资质的商户才能做
    myhu
        45
    myhu  
       2015-10-11 19:49:32 +08:00 via Android
    我就想问问哪个学校?
    Slienc7
        46
    Slienc7  
    OP
       2015-10-11 20:29:41 +08:00 via Android
    @BXIA
    这个测试有可以遇见的噪音问题
    我想测试 15 楼
    oott123
        47
    oott123  
       2015-10-11 20:45:35 +08:00
    没人说这个支付每天限额 200 块?
    zwzmzd
        48
    zwzmzd  
       2015-10-11 20:49:59 +08:00 via Android
    我觉得还好吧,特别国外在推广,支付宝完全有不联网支付的需求。

    其实它完全可以在支付前离线验证密码,这样兼顾安全和便捷
    whitefable
        49
    whitefable  
       2015-10-11 21:04:13 +08:00
    不知道楼主真的做过验证没有...二维码或者条码支付也是不需要确认的...
    Google Authenticator 做二步验证也不需要验证那你觉得安全性如何?
    的确你曾经说过你不能保证这个码被录下来了然后即时盗刷...但是我真的不知道要能录下这个音然后再回放的话设备要有多好成本有多高...特别是好像每分钟更新的这个时限很短吧...
    另外这种全部都只能限定在小额支付...你要盗刷的话能盗多少...当这个成本与收益来看你会去做么?
    mrlawrence
        50
    mrlawrence  
       2015-10-11 21:17:47 +08:00
    @xgowex 盗刷大量资金根本不可能的。因为支付宝后台给商户结款不是实时的,而是有一个账期。也就意味着你被盗刷了,手机账单马上就可以查到,然后你发觉自己没有这笔交易,于是就联系支付宝。支付宝在结账期之前核实完了,该退就退,该怎么样就怎样。
    话说回来,既然保险公司敢和支付宝合作推出账户险,也就意味着支付宝的安全性还是可以的。
    ycyppq123
        51
    ycyppq123  
       2015-10-11 21:35:19 +08:00
    @myhu 很多学校都有吧,成都东软学院有
    Slienc7
        52
    Slienc7  
    OP
       2015-10-11 21:43:05 +08:00
    @oott123 没有
    yangff
        53
    yangff  
       2015-10-11 22:03:29 +08:00 via Android
    我也发现了银行的一个重大漏洞
    在 ATM 机取钱的时候根本不需要银行卡联网就可以把钱取走。
    说明我们可以在 ATM 机上装个读卡器和摄像头就可以盗卡了。
    下面我们来看一下新闻:
    Slienc7
        54
    Slienc7  
    OP
       2015-10-11 22:26:30 +08:00
    @yangff
    确实一个道理,然而“装个读卡器和摄像头”的犯罪成本太高,成功概率太低
    yxz00
        55
    yxz00  
       2015-10-11 22:42:38 +08:00
    连一点加密算法的常识都没有就不要讨论什么支付安全了好吧。你这种无脑喷真不知道从哪个阶段的基础开始跟你解释起。
    a154312237
        56
    a154312237  
       2015-10-11 22:46:36 +08:00
    @jinyang656 是的,就像信用卡 本身是不需要联网的
    Slienc7
        57
    Slienc7  
    OP
       2015-10-11 22:52:51 +08:00
    @yxz00 何时看到我喷了?
    你这种无脑喷真不知道从哪冒出来的,一出来就开始 BB ,我也是 B 了
    wy315700
        58
    wy315700  
       2015-10-11 22:55:27 +08:00
    @xgowex 其实这样就还有个问题,联网这件事本身是否安全,有能力破解声波信道的,是不是也有能力破解联网加密
    yxz00
        59
    yxz00  
       2015-10-11 23:03:12 +08:00
    @xgowex 那我就有理有据的跟你喷一下。请问时间戳或者单号戳经过加密后的文本送你,你能用来进行下次支付吗?
    Slienc7
        60
    Slienc7  
    OP
       2015-10-11 23:03:13 +08:00
    @wy315700 为何要破解? 直接用支付宝 APP 不行吗?
    pmpio
        61
    pmpio  
       2015-10-11 23:03:20 +08:00
    我发现每次网上社区有质疑支付宝的帖子,开始时的回帖大多是附和楼主、吐糟马云的,过了几个小时,这帖子如果火了,吐糟的更多了,那风向马上会变,一大波 ID 会从各方面来论证楼主是傻子,理论上各种穿凿附会,将楼主贬得一无是处!在知乎和天涯,我已经遇到过多次了,今天又是这感觉。。。。
    tinyhill
        62
    tinyhill  
       2015-10-11 23:14:53 +08:00   ❤️ 1
    声波支付的频段正常人是听不到的,啾啾啾的声音只是为了好听而已。
    wm5d8b
        63
    wm5d8b  
       2015-10-11 23:16:36 +08:00
    @pmpio 因为第一时间回帖的大多都没有好好思考,之后来的那些摆事实讲道理的看到了肯定会反对呀。
    pmpio
        64
    pmpio  
       2015-10-11 23:25:54 +08:00
    @wm5d8b 你这 ID 好有趣,五毛 5 天 8 镑?
    wm5d8b
        65
    wm5d8b  
       2015-10-11 23:48:17 +08:00 via Android
    @pmpio 五毛 5 天 8 镑是什么鬼。。这个是过渡时期创造的 ID ,从其他编码转换过来的。因为 V2EX 不能改 ID ,就保留了咯
    a154312237
        66
    a154312237  
       2015-10-12 00:42:16 +08:00 via iPhone
    为什么不能就事论事......有些人就喜欢喜欢吵架哗众取宠
    xifangczy
        67
    xifangczy  
       2015-10-12 03:44:00 +08:00
    虽然没研究过 但可以设想下这样做...
    开通声波支付得到一个声波支付的 ID
    支付时声波包含 ID+时间戳+随机交易号 给服务端,服务端处理完交易就关闭了,你再用这段声波去支付由于交易号已经使用所以不能再用也就是一次性的,付款后拍屁股走人完全没安全问题。
    声波支付可以不包含任何账户信息和密码。
    uglyer
        68
    uglyer  
       2015-10-12 08:23:54 +08:00 via iPhone
    @xgowex 售卖机,关闭网络能成功
    uglyer
        69
    uglyer  
       2015-10-12 08:25:03 +08:00 via iPhone
    @xgowex 但是试了一下录制,设备识别不了的,而且那个声音应该有有效期吧。
    nellace
        70
    nellace  
       2015-10-12 08:47:30 +08:00
    @xgowex 扫码也不需要确认的,商店先扫描商品然后再扫描码,交易完成
    a656088752
        71
    a656088752  
       2015-10-12 08:50:20 +08:00
    先不说支付宝这个问题我怎么觉得 v2 的人越来越杂了,我现在基本都不怎么逛 v2 了老是黑和喷实在无语,自从回到国内后越来越不如以前了
    nbabook
        72
    nbabook  
       2015-10-12 09:24:00 +08:00
    这种事情靠猜或常识是没有用的,就跟你像乌云提交漏洞一样,不仅要发现,还要能测试成功,成果还不算完,还要能重放。
    LZ 在不了解背后机制的前提下,凭主观推断有问题,然后又做了思想实验,就指责别人的做法不安全。
    你有任何实证能够证明这种方法是不安全的?你有自己做过实验证明这种方法是不安全的?
    dorentus
        73
    dorentus  
       2015-10-12 10:43:01 +08:00 via iPhone
    这个可以成为一个面试题……
    设计一个流程,支持上面说的这种手机离线甚至双方离线时还能安全或者尽量安全地支付,考量安全性和用户体验…
    moliliang
        74
    moliliang  
       2015-10-12 11:31:10 +08:00
    你的前在支付宝眼里不过是一个数字,从左手到右手,何来不安全哦。
    Coxxs
        75
    Coxxs  
       2015-10-12 12:45:35 +08:00
    wy315700
        76
    wy315700  
       2015-10-12 12:58:28 +08:00
    @Coxxs 这个漏洞和之前录制汽车钥匙的是一样的,前提比较苛刻

    一方面是录的时候要保证是没支付过的,
    第二是录下来的只能使用一次
    bdnet
        77
    bdnet  
       2015-10-12 13:31:22 +08:00
    感觉声波支付就像是两次验证的简化版(无需原密码验证)验证码生成器。
    0 、打开声波就像的生产的一个 Token (最终声音还是会转换成 Token )
    1 、 Token 肯定有有效期
    2 、客户端算法和服务端算法一致,支持离线验证。
    3 、大家都知道两步验证目前还挺靠谱的吧?至少比直接输密码还要靠谱多。
    bdnet
        78
    bdnet  
       2015-10-12 13:40:12 +08:00
    应该至少有一方是在线的。但理论上应该可以做到双方都支持离线

    1 、利用蓝牙近场通讯
    2 、钱包必须是唯一的,同时只能绑定一个设备,先充值后使用。

    这种需求应该不多,那就像现金交易一样了,但还缺乏相关法律法规监管,也只适合小额。。。
    yeeyeung
        79
    yeeyeung  
       2015-10-12 14:03:02 +08:00
    那个自动售货机,不联网没法工作的……没人关心下这一环么
    qq7171891
        80
    qq7171891  
       2015-10-12 15:50:28 +08:00   ❤️ 2
    题主你想多了,刚好做过风控 PM ,来答一下你以及一并解答回答里冒出的一些问题。以下声波支付主要针对支付宝的。

    1 、关于「羞羞羞」:声波支付的确是利用声波为信息载体,不过不是那个「羞羞羞」的声音,这个声音是装饰用的,真正的用于承载信息的声音,人耳基本听不见。
    2 、关于网络:声波支付需要收款方具备联网环境,以对接云端分析声源新号(因为降噪需要计算),所以无需声源方(一般是付款人)具备联网环境。但是考虑到安全,一般这种情况需要收款方具备商户资质,也就是说题主这种情况可以(收款方是贩卖机),但是两个人拿手机声波收付款,则要求双方必须都具备联网环境(因为双方都是个人用户)。允许一方脱机纯粹是为了用户体验,比如贩卖机多布设于地铁,一般常人都知道,地铁上新号不是很好,因此不要求付款方的网络环境有利于交易达成。
    3 、关于复制:不好意思,题主,你天真了。声波背后的数据信息是经过加密处理,保证唯一性、时效性的,你能复制声音并且盗用成功的情况下,真正的发声源必须就在边上,因为失效时间真的 非!常!短!所以,你要尝试复制的话你有时间可以玩玩,只不过告诉你结果就是这样。
    4 、关于原理:支付宝的复杂些,简单点的请看: http://rest.sinaapp.com/?a=technology 。额外需要说的是声波的传输效率不高,所以支付宝的声波支付将关键信息压缩后形成很小的数据让声音作为载体传输。
    5 、关于安全:声波支付有小额支付限制,还配套风控体系,以及资金被盗保护机制。这些信息一部分官方已经说明。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3097 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 13:50 · PVG 21:50 · LAX 05:50 · JFK 08:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.