这是一个创建于 3322 天前的主题,其中的信息可能已经有所发展或是发生改变。
发现:
- 学校的里的自动售货机支持 Alipy 的声波支付,很久之前就发现支付时根本不用确认,只要放出声波,售货机就可以自动支付完成。
- 昨天手机欠费断网,没开 Wi-Fi 的情况下,发现竟然也可以支付。
- 推测声波应该是类似于支付密码一样的作用。
问题:
在售货机旁偷偷装个设备接收声波,是不是就可以无限制任意刷去别人支付宝的钱了?(未测试大额金额)
这和把自己的 Alipay 账号密码在公开场合大声喊出来有何区别?
安全性从何谈起?
第 1 条附言 · 2015-10-11 18:00:08 +08:00
另附一个刚刚通过 95188 客服进行的测试:
输入身份证号码、告知客服账号绑定的手机号码(不限制去电号码是否为账号绑定号码),即可让客服开启和关闭无线支付功能(即 AlipayAPP 支付)。
这毫无疑问是权限控制混乱的表现,支付宝敢在网页上开启这个功能吗?可能不到几小时就会有人利用手上掌握的个人身份证号码和手机号码自由的把所有人的无线支付开启关闭都修改一遍。那么电话上为什么就有这个功能?
输入身份证号码、告知客服账号绑定的手机号码(不限制去电号码是否为账号绑定号码),即可让客服开启和关闭无线支付功能(即 AlipayAPP 支付)。
这毫无疑问是权限控制混乱的表现,支付宝敢在网页上开启这个功能吗?可能不到几小时就会有人利用手上掌握的个人身份证号码和手机号码自由的把所有人的无线支付开启关闭都修改一遍。那么电话上为什么就有这个功能?
第 2 条附言 · 2015-10-11 19:20:27 +08:00
** 手中没有两台设备可以测试。哪位方便的可以用两台个人设备测试一下个人设备支付是否需要确认。 **
 |
1
miyuki 2015-10-11 17:06:29 +08:00 via Android
阿里大数据确保您的资金安全 斜眼笑
|
 |
3
DreamCMS 2015-10-11 17:13:25 +08:00
其实第一位在支付宝看来不是安全,而是便捷,因为大都数普通人要的就是方便,安全它们根本不去想的,只要方便了,它们就觉得牛逼,而我们程序员看到是逻辑上不安全因素,在支付宝看来,就算如何如何,老子赔得起。
这个类似于扫码支付。一样是这个道理 |
 |
4
Slienc7 OP @DreamCMS 这个比扫码支付更不靠谱,扫码好像要确认。且拾音设备比起录像设备更易搭建。
简易思路:拿个高保真的录音机放到那个售货机旁一整天,然后再拿回来放出来用支付宝。 简易思路二:拿个蓝牙话筒放那,接用手机 B ,然后 B 外放,手机 A 开支付宝接收。 |
 |
6
uglyer 2015-10-11 17:30:54 +08:00 via iPhone
测试成功,但是录制音频的识别不了,可能环境太嘈杂。
|
 |
7
shiny 2015-10-11 17:31:03 +08:00  1
有没有考虑过声波支付可能类似安全密令,只要依赖算法,在短暂时间内才会有效。
|
 |
8
Syaoran 2015-10-11 17:35:19 +08:00 via iPhone 3
动态密码啊,以时间戳生成的,只要时间正确就能验证成功,你手机不联网,收款机器一定是联网的。下次试试手机不联网然后调乱时间。这种密码是一次性而且有效期很短。感觉支付宝把大家弄得神经衰弱了😂
|
 |
10
SNOOPY963 2015-10-11 17:42:13 +08:00 1
网易将军令要联网了?一个道理。
人家在设计的时候这点怎么会考虑不到。 楼主应该把不联网的情况下,不同时间的声波支付都录一遍分析才靠谱啊。 |
 |
11
ljbha007 2015-10-11 17:50:17 +08:00 2
收款方都是经过审核和备案企业 如果有盗刷情况很容易追查
并且盗刷的钱是存在支付宝系统内的 如果用户举报盗刷是可以冻结资金的 |
 |
12
zcbenz 2015-10-11 17:56:17 +08:00 1
试都没试过就说不安全黑的也太不到位了,稍微了解下加密相关的基础知识就知道这种支付方式很安全的。
|
 |
13
abelyao 2015-10-11 18:04:27 +08:00 via iPhone
终于从 7 楼开始有正经回复了,都给个赞。
|
 |
14
sandideas 2015-10-11 18:06:33 +08:00
这个担心有点多余吧。。肯定得加上时间参数吧。
你录制的过了这个时间就已经不能用了。。 |
|
15
Slienc7 OP @ljbha007
不排除微小企业盗刷大量资金卷款跑路的吧? 这并不能解释权限问题。 @Syaoran @shiny @sandideas 我说的录制只是一个路人版简易方法。 时间验证又怎么样? 完全可以仿照售货机的方法做这样一个设备出来,然后偷偷装上去,当时就能盗刷。 声波距离长短并不是问题,做一个加大功率接收设备过来,然后雇人带着这个设备到各种地方跑着收款,就像伪基站一样。 @SNOOPY963 类似的生成动态码的设备,只要自己注意完全可以确认没有其他人看到,且你说的这个算是二步认证,需要输入登录密码再验证吧。 且我可以确认看动态密码的情况下没有人或者设备记录,我不能确认在用声波支付的时候有没有第三方设备在记录。 |
|
16
sandideas 2015-10-11 18:08:30 +08:00
而且最重要的是如支付宝说的,如果盗刷了他百分百赔。那何乐而不为
我们获得的是便利,风险却在阿里那。。 |
|
19
sandideas 2015-10-11 18:11:07 +08:00
@xgowex 盗刷这个可行性不高吧。。你刷了一个亿,但是实际上是刷了一个亿的支付宝的数字。。你又不能提现。。必须得支付宝确认交易无误了才会让你提现吧
|
 |
21
wy315700 2015-10-11 18:14:34 +08:00
声波只是一个信道而已,和二维码没什么区别,该加密还是加密的,,,该一次密码也要一次密码
|
|
22
Slienc7 OP |
|
23
Slienc7 OP @uglyer 手中没有 2 台设备测试。请问测试成功是指在售货机之类企业设备还是个人设备上不用确认即可支付?
|
 |
25
jerryjhou 2015-10-11 18:28:58 +08:00 via Android
你把风控吃了吗?这种小额支付根本就没法靠盗刷赚钱, 10 次内就得露陷,一次最多 200 ,连设备成本都捞不回来,赔钱买卖谁干啊(就算有 SB 干也是小概率事件,保险公司完全可以负责)
|
 |
26
zzNucker 2015-10-11 18:42:37 +08:00
楼主真的是想的太简单了。。。。
|
 |
27
marenight 2015-10-11 18:50:31 +08:00
设备是联网的
|
 |
28
zts1993 2015-10-11 18:51:23 +08:00
高科技风控你们懂个屁
|
 |
29
RqPS6rhmP3Nyn3Tm 2015-10-11 18:56:41 +08:00 via iPad
在不了解的情况下要理智分析,直接开喷不好。
个人觉得是类似 TOTP 之类的算法,没有经过验证 |
 |
31
lean 2015-10-11 19:01:38 +08:00 via Android
身边被坑的,没一个得到赔款的
|
 |
32
cjjia 2015-10-11 19:04:25 +08:00
楼主先把自己支付宝的声波录好拿去测试一下吧,在室内超安静的环境下。
|
|
34
Slienc7 OP |
|
37
Slienc7 OP |
 |
38
jinyang656 2015-10-11 19:15:09 +08:00
微信刷卡(扫码支付)也是一样的,不需要联网,有一次去超市用微信支付,完了发现没联网,赶紧把网络打开,才收到付款成功的消息。
|
 |
39
cdredfox 2015-10-11 19:24:50 +08:00
1 ,声波采样需要精度很高的录音设备才能完整录下来,进行回放。
2 ,声波录下来没用,背后技术类似于平常大家看到的银行 token 一样,声波只是载体,背后逻辑不多说。 3 ,条码(扫码支付)原理一样,只是传输载体不一样。 |
 |
40
xfspace 2015-10-11 19:26:12 +08:00 via Android
时间不同,声波也不同。而且只能用一次,如果当时在旁偷声音,得考虑音量。
|
|
41
wy315700 2015-10-11 19:26:47 +08:00
@xgowex
对于安全来说,最重要的不是说这个功能做的多安全, 而是在不影响使用的情况下尽可能的以最少的代价去做安全。 因为越安全,代价越大的。 现在声波支付刚起步,没有人有能力入侵,等能入侵的人多了,也许就会换一种支付方式了 个人见解 |
|
42
RqPS6rhmP3Nyn3Tm 2015-10-11 19:32:24 +08:00 via iPad
@xgowex 实验很简单,录音录下来,测试录下来的是否可以支付成功就可以了
|
 |
44
wsy2220 2015-10-11 19:40:18 +08:00 via Android
扫码支付也是一样的啊,有资质的商户才能做
|
 |
45
myhu 2015-10-11 19:49:32 +08:00 via Android
我就想问问哪个学校?
|
 |
47
oott123 2015-10-11 20:45:35 +08:00
没人说这个支付每天限额 200 块?
|
 |
48
zwzmzd 2015-10-11 20:49:59 +08:00 via Android
我觉得还好吧,特别国外在推广,支付宝完全有不联网支付的需求。
其实它完全可以在支付前离线验证密码,这样兼顾安全和便捷 |
 |
49
whitefable 2015-10-11 21:04:13 +08:00
不知道楼主真的做过验证没有...二维码或者条码支付也是不需要确认的...
Google Authenticator 做二步验证也不需要验证那你觉得安全性如何? 的确你曾经说过你不能保证这个码被录下来了然后即时盗刷...但是我真的不知道要能录下这个音然后再回放的话设备要有多好成本有多高...特别是好像每分钟更新的这个时限很短吧... 另外这种全部都只能限定在小额支付...你要盗刷的话能盗多少...当这个成本与收益来看你会去做么? |
 |
50
mrlawrence 2015-10-11 21:17:47 +08:00
@xgowex 盗刷大量资金根本不可能的。因为支付宝后台给商户结款不是实时的,而是有一个账期。也就意味着你被盗刷了,手机账单马上就可以查到,然后你发觉自己没有这笔交易,于是就联系支付宝。支付宝在结账期之前核实完了,该退就退,该怎么样就怎样。
话说回来,既然保险公司敢和支付宝合作推出账户险,也就意味着支付宝的安全性还是可以的。 |
 |
53
yangff 2015-10-11 22:03:29 +08:00 via Android
我也发现了银行的一个重大漏洞
在 ATM 机取钱的时候根本不需要银行卡联网就可以把钱取走。 说明我们可以在 ATM 机上装个读卡器和摄像头就可以盗卡了。 下面我们来看一下新闻: |
 |
55
yxz00 2015-10-11 22:42:38 +08:00
连一点加密算法的常识都没有就不要讨论什么支付安全了好吧。你这种无脑喷真不知道从哪个阶段的基础开始跟你解释起。
|
 |
56
a154312237 2015-10-11 22:46:36 +08:00
@jinyang656 是的,就像信用卡 本身是不需要联网的
|
 |
61
pmpio 2015-10-11 23:03:20 +08:00
我发现每次网上社区有质疑支付宝的帖子,开始时的回帖大多是附和楼主、吐糟马云的,过了几个小时,这帖子如果火了,吐糟的更多了,那风向马上会变,一大波 ID 会从各方面来论证楼主是傻子,理论上各种穿凿附会,将楼主贬得一无是处!在知乎和天涯,我已经遇到过多次了,今天又是这感觉。。。。
|
 |
62
tinyhill 2015-10-11 23:14:53 +08:00 1
声波支付的频段正常人是听不到的,啾啾啾的声音只是为了好听而已。
|
 |
65
wm5d8b 2015-10-11 23:48:17 +08:00 via Android
@pmpio 五毛 5 天 8 镑是什么鬼。。这个是过渡时期创造的 ID ,从其他编码转换过来的。因为 V2EX 不能改 ID ,就保留了咯
|
|
66
a154312237 2015-10-12 00:42:16 +08:00 via iPhone
为什么不能就事论事......有些人就喜欢喜欢吵架哗众取宠
|
 |
67
xifangczy 2015-10-12 03:44:00 +08:00
虽然没研究过 但可以设想下这样做...
开通声波支付得到一个声波支付的 ID 支付时声波包含 ID+时间戳+随机交易号 给服务端,服务端处理完交易就关闭了,你再用这段声波去支付由于交易号已经使用所以不能再用也就是一次性的,付款后拍屁股走人完全没安全问题。 声波支付可以不包含任何账户信息和密码。 |
 |
71
a656088752 2015-10-12 08:50:20 +08:00
先不说支付宝这个问题我怎么觉得 v2 的人越来越杂了,我现在基本都不怎么逛 v2 了老是黑和喷实在无语,自从回到国内后越来越不如以前了
|
 |
72
nbabook 2015-10-12 09:24:00 +08:00
这种事情靠猜或常识是没有用的,就跟你像乌云提交漏洞一样,不仅要发现,还要能测试成功,成果还不算完,还要能重放。
LZ 在不了解背后机制的前提下,凭主观推断有问题,然后又做了思想实验,就指责别人的做法不安全。 你有任何实证能够证明这种方法是不安全的?你有自己做过实验证明这种方法是不安全的? |
 |
73
dorentus 2015-10-12 10:43:01 +08:00 via iPhone
这个可以成为一个面试题……
设计一个流程,支持上面说的这种手机离线甚至双方离线时还能安全或者尽量安全地支付,考量安全性和用户体验… |
 |
74
moliliang 2015-10-12 11:31:10 +08:00
你的前在支付宝眼里不过是一个数字,从左手到右手,何来不安全哦。
|
 |
75
Coxxs 2015-10-12 12:45:35 +08:00
|
|
76
wy315700 2015-10-12 12:58:28 +08:00
|
 |
77
bdnet 2015-10-12 13:31:22 +08:00
感觉声波支付就像是两次验证的简化版(无需原密码验证)验证码生成器。
0 、打开声波就像的生产的一个 Token (最终声音还是会转换成 Token ) 1 、 Token 肯定有有效期 2 、客户端算法和服务端算法一致,支持离线验证。 3 、大家都知道两步验证目前还挺靠谱的吧?至少比直接输密码还要靠谱多。 |
|
78
bdnet 2015-10-12 13:40:12 +08:00
应该至少有一方是在线的。但理论上应该可以做到双方都支持离线
1 、利用蓝牙近场通讯 2 、钱包必须是唯一的,同时只能绑定一个设备,先充值后使用。 这种需求应该不多,那就像现金交易一样了,但还缺乏相关法律法规监管,也只适合小额。。。 |
 |
79
yeeyeung 2015-10-12 14:03:02 +08:00
那个自动售货机,不联网没法工作的……没人关心下这一环么
|
 |
80
qq7171891 2015-10-12 15:50:28 +08:00 2
题主你想多了,刚好做过风控 PM ,来答一下你以及一并解答回答里冒出的一些问题。以下声波支付主要针对支付宝的。
1 、关于「羞羞羞」:声波支付的确是利用声波为信息载体,不过不是那个「羞羞羞」的声音,这个声音是装饰用的,真正的用于承载信息的声音,人耳基本听不见。 2 、关于网络:声波支付需要收款方具备联网环境,以对接云端分析声源新号(因为降噪需要计算),所以无需声源方(一般是付款人)具备联网环境。但是考虑到安全,一般这种情况需要收款方具备商户资质,也就是说题主这种情况可以(收款方是贩卖机),但是两个人拿手机声波收付款,则要求双方必须都具备联网环境(因为双方都是个人用户)。允许一方脱机纯粹是为了用户体验,比如贩卖机多布设于地铁,一般常人都知道,地铁上新号不是很好,因此不要求付款方的网络环境有利于交易达成。 3 、关于复制:不好意思,题主,你天真了。声波背后的数据信息是经过加密处理,保证唯一性、时效性的,你能复制声音并且盗用成功的情况下,真正的发声源必须就在边上,因为失效时间真的 非!常!短!所以,你要尝试复制的话你有时间可以玩玩,只不过告诉你结果就是这样。 4 、关于原理:支付宝的复杂些,简单点的请看: http://rest.sinaapp.com/?a=technology 。额外需要说的是声波的传输效率不高,所以支付宝的声波支付将关键信息压缩后形成很小的数据让声音作为载体传输。 5 、关于安全:声波支付有小额支付限制,还配套风控体系,以及资金被盗保护机制。这些信息一部分官方已经说明。 |
Select Language