手机版 AlipayAPP 的声波支付可以不联网支付，且无需确认

发现：

学校的里的自动售货机支持 Alipy 的声波支付，很久之前就发现支付时根本不用确认，只要放出声波，售货机就可以自动支付完成。
昨天手机欠费断网，没开 Wi-Fi 的情况下，发现竟然也可以支付。
推测声波应该是类似于支付密码一样的作用。

问题：

在售货机旁偷偷装个设备接收声波，是不是就可以无限制任意刷去别人支付宝的钱了？（未测试大额金额）
这和把自己的 Alipay 账号密码在公开场合大声喊出来有何区别？

安全性从何谈起？

wy315700

2015-10-11 19:26:47 +08:00

@xgowex

对于安全来说，最重要的不是说这个功能做的多安全，
而是在不影响使用的情况下尽可能的以最少的代价去做安全。
因为越安全，代价越大的。
现在声波支付刚起步，没有人有能力入侵，等能入侵的人多了，也许就会换一种支付方式了

个人见解

RqPS6rhmP3Nyn3Tm

2015-10-11 19:32:24 +08:00

@xgowex 实验很简单，录音录下来，测试录下来的是否可以支付成功就可以了

zwzmzd

2015-10-11 20:49:59 +08:00

我觉得还好吧，特别国外在推广，支付宝完全有不联网支付的需求。

其实它完全可以在支付前离线验证密码，这样兼顾安全和便捷

whitefable

2015-10-11 21:04:13 +08:00

不知道楼主真的做过验证没有...二维码或者条码支付也是不需要确认的...
Google Authenticator 做二步验证也不需要验证那你觉得安全性如何?
的确你曾经说过你不能保证这个码被录下来了然后即时盗刷...但是我真的不知道要能录下这个音然后再回放的话设备要有多好成本有多高...特别是好像每分钟更新的这个时限很短吧...
另外这种全部都只能限定在小额支付...你要盗刷的话能盗多少...当这个成本与收益来看你会去做么?

mrlawrence

2015-10-11 21:17:47 +08:00

@xgowex 盗刷大量资金根本不可能的。因为支付宝后台给商户结款不是实时的，而是有一个账期。也就意味着你被盗刷了，手机账单马上就可以查到，然后你发觉自己没有这笔交易，于是就联系支付宝。支付宝在结账期之前核实完了，该退就退，该怎么样就怎样。
话说回来，既然保险公司敢和支付宝合作推出账户险，也就意味着支付宝的安全性还是可以的。

yangff

2015-10-11 22:03:29 +08:00

我也发现了银行的一个重大漏洞
在 ATM 机取钱的时候根本不需要银行卡联网就可以把钱取走。
说明我们可以在 ATM 机上装个读卡器和摄像头就可以盗卡了。
下面我们来看一下新闻：

Slienc7

2015-10-11 22:26:30 +08:00

@yangff
确实一个道理，然而“装个读卡器和摄像头”的犯罪成本太高，成功概率太低

yxz00

2015-10-11 22:42:38 +08:00

连一点加密算法的常识都没有就不要讨论什么支付安全了好吧。你这种无脑喷真不知道从哪个阶段的基础开始跟你解释起。

Slienc7

2015-10-11 22:52:51 +08:00

@yxz00 何时看到我喷了？
你这种无脑喷真不知道从哪冒出来的，一出来就开始 BB ，我也是 B 了

wy315700

2015-10-11 22:55:27 +08:00

@xgowex 其实这样就还有个问题，联网这件事本身是否安全，有能力破解声波信道的，是不是也有能力破解联网加密

yxz00

2015-10-11 23:03:12 +08:00

@xgowex 那我就有理有据的跟你喷一下。请问时间戳或者单号戳经过加密后的文本送你，你能用来进行下次支付吗？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227157

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.