手机版 AlipayAPP 的声波支付可以不联网支付,且无需确认

2015-10-11 16:42:56 +08:00
 Slienc7

发现:

  1. 学校的里的自动售货机支持 Alipy 的声波支付,很久之前就发现支付时根本不用确认,只要放出声波,售货机就可以自动支付完成。
  2. 昨天手机欠费断网,没开 Wi-Fi 的情况下,发现竟然也可以支付。
  3. 推测声波应该是类似于支付密码一样的作用。

问题:

在售货机旁偷偷装个设备接收声波,是不是就可以无限制任意刷去别人支付宝的钱了?(未测试大额金额)
这和把自己的 Alipay 账号密码在公开场合大声喊出来有何区别?

安全性从何谈起?

5250 次点击
所在节点    支付宝
80 条回复
miyuki
2015-10-11 17:06:29 +08:00
阿里大数据确保您的资金安全 斜眼笑
Slienc7
2015-10-11 17:12:02 +08:00
@miyuki
我是不是该改个标题叫一台录音机带来的千万收益
DreamCMS
2015-10-11 17:13:25 +08:00
其实第一位在支付宝看来不是安全,而是便捷,因为大都数普通人要的就是方便,安全它们根本不去想的,只要方便了,它们就觉得牛逼,而我们程序员看到是逻辑上不安全因素,在支付宝看来,就算如何如何,老子赔得起。

这个类似于扫码支付。一样是这个道理
Slienc7
2015-10-11 17:18:07 +08:00
@DreamCMS 这个比扫码支付更不靠谱,扫码好像要确认。且拾音设备比起录像设备更易搭建。
简易思路:拿个高保真的录音机放到那个售货机旁一整天,然后再拿回来放出来用支付宝。
简易思路二:拿个蓝牙话筒放那,接用手机 B ,然后 B 外放,手机 A 开支付宝接收。
Slienc7
2015-10-11 17:19:20 +08:00
@xgowex 到底会不会赔偿真难说,怎么证明是非正常支付?
uglyer
2015-10-11 17:30:54 +08:00
测试成功,但是录制音频的识别不了,可能环境太嘈杂。
shiny
2015-10-11 17:31:03 +08:00
有没有考虑过声波支付可能类似安全密令,只要依赖算法,在短暂时间内才会有效。
Syaoran
2015-10-11 17:35:19 +08:00
动态密码啊,以时间戳生成的,只要时间正确就能验证成功,你手机不联网,收款机器一定是联网的。下次试试手机不联网然后调乱时间。这种密码是一次性而且有效期很短。感觉支付宝把大家弄得神经衰弱了😂
watzds
2015-10-11 17:35:48 +08:00
@shiny 不错!
SNOOPY963
2015-10-11 17:42:13 +08:00
网易将军令要联网了?一个道理。
人家在设计的时候这点怎么会考虑不到。

楼主应该把不联网的情况下,不同时间的声波支付都录一遍分析才靠谱啊。
ljbha007
2015-10-11 17:50:17 +08:00
收款方都是经过审核和备案企业 如果有盗刷情况很容易追查
并且盗刷的钱是存在支付宝系统内的 如果用户举报盗刷是可以冻结资金的
zcbenz
2015-10-11 17:56:17 +08:00
试都没试过就说不安全黑的也太不到位了,稍微了解下加密相关的基础知识就知道这种支付方式很安全的。
abelyao
2015-10-11 18:04:27 +08:00
终于从 7 楼开始有正经回复了,都给个赞。
sandideas
2015-10-11 18:06:33 +08:00
这个担心有点多余吧。。肯定得加上时间参数吧。
你录制的过了这个时间就已经不能用了。。
Slienc7
2015-10-11 18:08:19 +08:00
@ljbha007
不排除微小企业盗刷大量资金卷款跑路的吧?
这并不能解释权限问题。


@Syaoran
@shiny
@sandideas
我说的录制只是一个路人版简易方法。
时间验证又怎么样?
完全可以仿照售货机的方法做这样一个设备出来,然后偷偷装上去,当时就能盗刷。
声波距离长短并不是问题,做一个加大功率接收设备过来,然后雇人带着这个设备到各种地方跑着收款,就像伪基站一样。

@SNOOPY963
类似的生成动态码的设备,只要自己注意完全可以确认没有其他人看到,且你说的这个算是二步认证,需要输入登录密码再验证吧。
且我可以确认看动态密码的情况下没有人或者设备记录,我不能确认在用声波支付的时候有没有第三方设备在记录。
sandideas
2015-10-11 18:08:30 +08:00
而且最重要的是如支付宝说的,如果盗刷了他百分百赔。那何乐而不为
我们获得的是便利,风险却在阿里那。。
sandideas
2015-10-11 18:09:58 +08:00
@xgowex
应该是有备案的企业账户才能免密码支付。。
像我们普通的两个人用声波支付也要输入金额和确认密码。。
Slienc7
2015-10-11 18:10:15 +08:00
@uglyer
思路如下:
可以尝试自己写 APP 放手机上控制支付宝,然后开启支付宝,在收到声波请求后自动完成支付。
sandideas
2015-10-11 18:11:07 +08:00
@xgowex 盗刷这个可行性不高吧。。你刷了一个亿,但是实际上是刷了一个亿的支付宝的数字。。你又不能提现。。必须得支付宝确认交易无误了才会让你提现吧
ljbha007
2015-10-11 18:12:49 +08:00
@xgowex 刷出来的钱在支付宝系统内的 接到用户举报 支付宝可以冻结资金的 取不出来

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227157

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX