风险告警:联通 APP 虚构自动充交易后,偷偷修 bug 但只修一半?

212 天前
 dwelling

书接上回

现状

托好心群友的福,联通偷偷修复了手机浏览器访问联通官网链接(如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx )即可拉起支付宝 APP 联通话费免密支付(&自动充&付款授权协议)弹窗(截图示例)。

但截止 5.21 晚,依旧支持扫码拉起支付宝联通话费免密支付(&自动充&付款授权协议)弹窗。

bug 作用:

  1. 跳过(任何运营商号码)用户本机登录 APP 、申请开通自动充服务、完成联通充值号码设置&充值方式设置(低额充,如话费余额低于 20 则自动充值 300-500 块话费)过程,直接拉起用户手机支付宝签约弹窗。
  2. 用户一旦在弹窗签约,联通扣款用户支付宝 300-500 块。商户某地联通,有订单号跟商家订单号,无充值号码。
854 次点击
所在节点    分享发现
1 条回复
dwelling
212 天前
## 时间线

- **5.18 晚(上周六)被骗**。拷贝闲鱼卖家提供的短链接并在手机浏览器打开(当时无站外交易风险提示),自动被跳转到联通官网链接(如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx ) ,接着自动跳转支付宝联通免密支付&自动充协议开通弹窗([截图]( https://imgur.com/a/xb4xHm9)示意)。以为是预授权,遂确认。开通后被 A 省联通立即扣除话费 498.5 ,充值号码未知。搜索后发现相同经历诈骗案例中,受害者都是被联通扣费。当晚发帖分享。

- **5.19 (上周日)开始怀疑联通 APP**

联通 10010 投诉。A 省客服机械性重复“联通没有委托任何单位或者个人开展话费充值业务”,让找卖家、支付宝或报警。不服气,开始找证据证明联通有问题。非技术背景,用笨办法,一个个查 🤦‍

- **发现不符合联通自动充协议**:研究了下联通自动充协议,发现被跳过了前面必须的本人申请开通自动充的过程,也就是谁申请、谁签约(民事合同强调当事人的同一性、一致性)。
- **测试联通自动充申请开通过程,排除支付宝、微信可能性**。联通自动充理论上只有 3 个 APP 可以申请(微信、支付宝、联通 APP ;联通官网无自动充入口),测试后排除微信、支付宝([见]( https://www.v2ex.com/t/1041916#reply30) 18 楼)。
- **排除支付宝自动充的嫌疑**。搜了个公开的 A 省联通手机号码,支付宝手机话费自动充里测试,发现会在当前页面完成协议开通,且支付二次确认弹窗里会显示被充值手机号码 👍
- **排除微信自动充值的嫌疑**:微信自动充只允许微信支付。
- **排除联通 APP 产品设计/前端问题**。找本地 B 省联通营业厅工作人员帮忙测试,发现联通号码用户须使用主号才能登录联通 APP ,申请自动充并完成自动充设置后(有熟悉的 1.5 支付宝红包),会拉起支付宝 APP 联通免密支付弹窗。功能设计上,APP 登录申请后无法转发让他人签约支付。后端出什么问题了?
- 具体操作:需要同一台手机上,先登录联通 APP ,在里面申请开通话费自动充、设置要充值的手机号码、充值条件(低额充;阈值最低 20 ,充值金额最高 500 )、支付方式选择(支付宝;首次使用支付宝付款会有 1.5 元红包),然后才会自动拉起支付宝该弹窗。
- 当晚发现博主当天下午提示联通 APP 漏洞(《[我看刑,运营商高危在野业务漏洞被利用到网络诈骗]( https://mp.weixin.qq.com/s/IxEuLeLSxguWpMnnm2PBpg)》)。

- **5.20 周一 复现、抓包**

- 发现非联通号码可以登录联通 APP ,随获取更多联通官网跳转链接,在好心人的帮助下,使用 stream 抓包、录屏。
- 对比联通官网链接 VS 联通 APP 各自拉起支付宝签约弹窗时的接口数据,发现关键在于联通官网 GET 请求 /cu-swcss-business-front/v1/sign/confirm/xxx 里少了非常多的信息。
- 查看支付宝文档(《[APP 支付快速接入]( https://opendocs.alipay.com/open/204/01dcc0)》、[截图示例]( https://imgur.com/a/Dbhznpv);写的好 👍),对联通服务端产生了困惑。服务器密钥泄露?后门? APP 伪造登录?懂得老哥出来讲两句。

- **5.21 周二** **官网链接 bug 被修复,但不修支付宝二维码 bug**

- [博主]( https://mp.weixin.qq.com/s/dso3szNeRtdFN8xtagBBsQ)报告联通修复官网链接 bug
- 受害人数仍在增加,方式变成了支付宝扫码
- 找更多卖家、拿到二维码继续抓包复现、录屏

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1042899

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX