风险告警：联通 APP 虚构自动充交易后，偷偷修 bug 但只修一半？

## 时间线

- **5.18 晚（上周六）被骗**。拷贝闲鱼卖家提供的短链接并在手机浏览器打开（当时无站外交易风险提示），自动被跳转到联通官网链接（如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx ） ，接着自动跳转支付宝联通免密支付&自动充协议开通弹窗（[截图]( https://imgur.com/a/xb4xHm9)示意）。以为是预授权，遂确认。开通后被 A 省联通立即扣除话费 498.5 ，充值号码未知。搜索后发现相同经历诈骗案例中，受害者都是被联通扣费。当晚发帖分享。

- **5.19 （上周日）开始怀疑联通 APP**

联通 10010 投诉。A 省客服机械性重复“联通没有委托任何单位或者个人开展话费充值业务”，让找卖家、支付宝或报警。不服气，开始找证据证明联通有问题。非技术背景，用笨办法，一个个查 🤦‍

- **发现不符合联通自动充协议**：研究了下联通自动充协议，发现被跳过了前面必须的本人申请开通自动充的过程，也就是谁申请、谁签约（民事合同强调当事人的同一性、一致性）。
- **测试联通自动充申请开通过程，排除支付宝、微信可能性**。联通自动充理论上只有 3 个 APP 可以申请（微信、支付宝、联通 APP ；联通官网无自动充入口），测试后排除微信、支付宝（[见]( https://www.v2ex.com/t/1041916#reply30) 18 楼）。
- **排除支付宝自动充的嫌疑**。搜了个公开的 A 省联通手机号码，支付宝手机话费自动充里测试，发现会在当前页面完成协议开通，且支付二次确认弹窗里会显示被充值手机号码 👍
- **排除微信自动充值的嫌疑**：微信自动充只允许微信支付。
- **排除联通 APP 产品设计/前端问题**。找本地 B 省联通营业厅工作人员帮忙测试，发现联通号码用户须使用主号才能登录联通 APP ，申请自动充并完成自动充设置后（有熟悉的 1.5 支付宝红包），会拉起支付宝 APP 联通免密支付弹窗。功能设计上，APP 登录申请后无法转发让他人签约支付。后端出什么问题了？
- 具体操作：需要同一台手机上，先登录联通 APP ，在里面申请开通话费自动充、设置要充值的手机号码、充值条件（低额充；阈值最低 20 ，充值金额最高 500 ）、支付方式选择（支付宝；首次使用支付宝付款会有 1.5 元红包），然后才会自动拉起支付宝该弹窗。
- 当晚发现博主当天下午提示联通 APP 漏洞（《[我看刑，运营商高危在野业务漏洞被利用到网络诈骗]( https://mp.weixin.qq.com/s/IxEuLeLSxguWpMnnm2PBpg)》）。

- **5.20 周一 复现、抓包**

- 发现非联通号码可以登录联通 APP ，随获取更多联通官网跳转链接，在好心人的帮助下，使用 stream 抓包、录屏。
- 对比联通官网链接 VS 联通 APP 各自拉起支付宝签约弹窗时的接口数据，发现关键在于联通官网 GET 请求 /cu-swcss-business-front/v1/sign/confirm/xxx 里少了非常多的信息。
- 查看支付宝文档（《[APP 支付快速接入]( https://opendocs.alipay.com/open/204/01dcc0)》、[截图示例]( https://imgur.com/a/Dbhznpv)；写的好 👍），对联通服务端产生了困惑。服务器密钥泄露？后门？ APP 伪造登录？懂得老哥出来讲两句。

- **5.21 周二** **官网链接 bug 被修复，但不修支付宝二维码 bug**

- [博主]( https://mp.weixin.qq.com/s/dso3szNeRtdFN8xtagBBsQ)报告联通修复官网链接 bug
- 受害人数仍在增加，方式变成了支付宝扫码
- 找更多卖家、拿到二维码继续抓包复现、录屏