书接上回。
托好心群友的福,联通偷偷修复了手机浏览器访问联通官网链接(如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx )即可拉起支付宝 APP 联通话费免密支付(&自动充&付款授权协议)弹窗(截图示例)。
但截止 5.21 晚,依旧支持扫码拉起支付宝联通话费免密支付(&自动充&付款授权协议)弹窗。
bug 作用:
1
dwelling OP ## 时间线
- **5.18 晚(上周六)被骗**。拷贝闲鱼卖家提供的短链接并在手机浏览器打开(当时无站外交易风险提示),自动被跳转到联通官网链接(如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx ) ,接着自动跳转支付宝联通免密支付&自动充协议开通弹窗([截图]( https://imgur.com/a/xb4xHm9)示意)。以为是预授权,遂确认。开通后被 A 省联通立即扣除话费 498.5 ,充值号码未知。搜索后发现相同经历诈骗案例中,受害者都是被联通扣费。当晚发帖分享。 - **5.19 (上周日)开始怀疑联通 APP** 联通 10010 投诉。A 省客服机械性重复“联通没有委托任何单位或者个人开展话费充值业务”,让找卖家、支付宝或报警。不服气,开始找证据证明联通有问题。非技术背景,用笨办法,一个个查 🤦 - **发现不符合联通自动充协议**:研究了下联通自动充协议,发现被跳过了前面必须的本人申请开通自动充的过程,也就是谁申请、谁签约(民事合同强调当事人的同一性、一致性)。 - **测试联通自动充申请开通过程,排除支付宝、微信可能性**。联通自动充理论上只有 3 个 APP 可以申请(微信、支付宝、联通 APP ;联通官网无自动充入口),测试后排除微信、支付宝([见]( https://www.v2ex.com/t/1041916#reply30) 18 楼)。 - **排除支付宝自动充的嫌疑**。搜了个公开的 A 省联通手机号码,支付宝手机话费自动充里测试,发现会在当前页面完成协议开通,且支付二次确认弹窗里会显示被充值手机号码 👍 - **排除微信自动充值的嫌疑**:微信自动充只允许微信支付。 - **排除联通 APP 产品设计/前端问题**。找本地 B 省联通营业厅工作人员帮忙测试,发现联通号码用户须使用主号才能登录联通 APP ,申请自动充并完成自动充设置后(有熟悉的 1.5 支付宝红包),会拉起支付宝 APP 联通免密支付弹窗。功能设计上,APP 登录申请后无法转发让他人签约支付。后端出什么问题了? - 具体操作:需要同一台手机上,先登录联通 APP ,在里面申请开通话费自动充、设置要充值的手机号码、充值条件(低额充;阈值最低 20 ,充值金额最高 500 )、支付方式选择(支付宝;首次使用支付宝付款会有 1.5 元红包),然后才会自动拉起支付宝该弹窗。 - 当晚发现博主当天下午提示联通 APP 漏洞(《[我看刑,运营商高危在野业务漏洞被利用到网络诈骗]( https://mp.weixin.qq.com/s/IxEuLeLSxguWpMnnm2PBpg)》)。 - **5.20 周一 复现、抓包** - 发现非联通号码可以登录联通 APP ,随获取更多联通官网跳转链接,在好心人的帮助下,使用 stream 抓包、录屏。 - 对比联通官网链接 VS 联通 APP 各自拉起支付宝签约弹窗时的接口数据,发现关键在于联通官网 GET 请求 /cu-swcss-business-front/v1/sign/confirm/xxx 里少了非常多的信息。 - 查看支付宝文档(《[APP 支付快速接入]( https://opendocs.alipay.com/open/204/01dcc0)》、[截图示例]( https://imgur.com/a/Dbhznpv);写的好 👍),对联通服务端产生了困惑。服务器密钥泄露?后门? APP 伪造登录?懂得老哥出来讲两句。 - **5.21 周二** **官网链接 bug 被修复,但不修支付宝二维码 bug** - [博主]( https://mp.weixin.qq.com/s/dso3szNeRtdFN8xtagBBsQ)报告联通修复官网链接 bug - 受害人数仍在增加,方式变成了支付宝扫码 - 找更多卖家、拿到二维码继续抓包复现、录屏 |