V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dwelling
V2EX  ›  分享发现

风险告警:联通 APP 虚构自动充交易后,偷偷修 bug 但只修一半?

  •  
  •   dwelling · 181 天前 · 822 次点击
    这是一个创建于 181 天前的主题,其中的信息可能已经有所发展或是发生改变。

    书接上回

    现状

    托好心群友的福,联通偷偷修复了手机浏览器访问联通官网链接(如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx )即可拉起支付宝 APP 联通话费免密支付(&自动充&付款授权协议)弹窗(截图示例)。

    但截止 5.21 晚,依旧支持扫码拉起支付宝联通话费免密支付(&自动充&付款授权协议)弹窗。

    bug 作用:

    1. 跳过(任何运营商号码)用户本机登录 APP 、申请开通自动充服务、完成联通充值号码设置&充值方式设置(低额充,如话费余额低于 20 则自动充值 300-500 块话费)过程,直接拉起用户手机支付宝签约弹窗。
    2. 用户一旦在弹窗签约,联通扣款用户支付宝 300-500 块。商户某地联通,有订单号跟商家订单号,无充值号码。
    1 条回复
    dwelling
        1
    dwelling  
    OP
       181 天前
    ## 时间线

    - **5.18 晚(上周六)被骗**。拷贝闲鱼卖家提供的短链接并在手机浏览器打开(当时无站外交易风险提示),自动被跳转到联通官网链接(如 https://epay.10010.com/cu-swcss-business-front/v1/sign/confirm/xxxx ) ,接着自动跳转支付宝联通免密支付&自动充协议开通弹窗([截图]( https://imgur.com/a/xb4xHm9)示意)。以为是预授权,遂确认。开通后被 A 省联通立即扣除话费 498.5 ,充值号码未知。搜索后发现相同经历诈骗案例中,受害者都是被联通扣费。当晚发帖分享。

    - **5.19 (上周日)开始怀疑联通 APP**

    联通 10010 投诉。A 省客服机械性重复“联通没有委托任何单位或者个人开展话费充值业务”,让找卖家、支付宝或报警。不服气,开始找证据证明联通有问题。非技术背景,用笨办法,一个个查 🤦‍

    - **发现不符合联通自动充协议**:研究了下联通自动充协议,发现被跳过了前面必须的本人申请开通自动充的过程,也就是谁申请、谁签约(民事合同强调当事人的同一性、一致性)。
    - **测试联通自动充申请开通过程,排除支付宝、微信可能性**。联通自动充理论上只有 3 个 APP 可以申请(微信、支付宝、联通 APP ;联通官网无自动充入口),测试后排除微信、支付宝([见]( https://www.v2ex.com/t/1041916#reply30) 18 楼)。
    - **排除支付宝自动充的嫌疑**。搜了个公开的 A 省联通手机号码,支付宝手机话费自动充里测试,发现会在当前页面完成协议开通,且支付二次确认弹窗里会显示被充值手机号码 👍
    - **排除微信自动充值的嫌疑**:微信自动充只允许微信支付。
    - **排除联通 APP 产品设计/前端问题**。找本地 B 省联通营业厅工作人员帮忙测试,发现联通号码用户须使用主号才能登录联通 APP ,申请自动充并完成自动充设置后(有熟悉的 1.5 支付宝红包),会拉起支付宝 APP 联通免密支付弹窗。功能设计上,APP 登录申请后无法转发让他人签约支付。后端出什么问题了?
    - 具体操作:需要同一台手机上,先登录联通 APP ,在里面申请开通话费自动充、设置要充值的手机号码、充值条件(低额充;阈值最低 20 ,充值金额最高 500 )、支付方式选择(支付宝;首次使用支付宝付款会有 1.5 元红包),然后才会自动拉起支付宝该弹窗。
    - 当晚发现博主当天下午提示联通 APP 漏洞(《[我看刑,运营商高危在野业务漏洞被利用到网络诈骗]( https://mp.weixin.qq.com/s/IxEuLeLSxguWpMnnm2PBpg)》)。

    - **5.20 周一 复现、抓包**

    - 发现非联通号码可以登录联通 APP ,随获取更多联通官网跳转链接,在好心人的帮助下,使用 stream 抓包、录屏。
    - 对比联通官网链接 VS 联通 APP 各自拉起支付宝签约弹窗时的接口数据,发现关键在于联通官网 GET 请求 /cu-swcss-business-front/v1/sign/confirm/xxx 里少了非常多的信息。
    - 查看支付宝文档(《[APP 支付快速接入]( https://opendocs.alipay.com/open/204/01dcc0)》、[截图示例]( https://imgur.com/a/Dbhznpv);写的好 👍),对联通服务端产生了困惑。服务器密钥泄露?后门? APP 伪造登录?懂得老哥出来讲两句。

    - **5.21 周二** **官网链接 bug 被修复,但不修支付宝二维码 bug**

    - [博主]( https://mp.weixin.qq.com/s/dso3szNeRtdFN8xtagBBsQ)报告联通修复官网链接 bug
    - 受害人数仍在增加,方式变成了支付宝扫码
    - 找更多卖家、拿到二维码继续抓包复现、录屏
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3718 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:42 · PVG 18:42 · LAX 02:42 · JFK 05:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.