0
近幾年,移動支付在支付、理財與小額信貸等領域都顯示出巨大的發展前景,引來巨頭紛紛入場廝殺,從最先開始支付寶和微信各種優惠的“火拼”大戰,再到京東支付、美團支付與蘇寧支付等依靠自身主業和交易場景來殺入移動支付,最近,雷鋒網發現,一個更加強勁的對手“云閃付”來了。
它有銀聯的背書、有央行領導的站臺,還有各大商業銀行的支持,總之,與京東美團支付等后來者相比,“云閃付”更像是個含著金鑰匙出生的小孩,大家可以從新聞中感受下它出生時的陣仗↓↓↓
2017年12月11日,在中國人民銀行的指導下,中國銀聯攜手各大商業銀行、支付機構等產業伙伴共同發布了自己的移動端支付入口——銀行業統一APP“云閃付”,來與阿里巴巴、騰訊等互聯網巨頭共同搶灘移動支付市場。
中國人民銀行副行長范一飛、中國鐵路總公司總會計師余邦利、中國銀聯總裁時文朝、17家全國性商業銀行負責人、14家區域性銀行負責人以及人民銀行、支付清算協會、非銀行支付機構、手機廠商、合作商戶代表共同出席了發布儀式,為“云閃付”App站臺。
不僅背景很硬,在爭取用戶這件事上,“云閃付”出手也很是闊綽,與當年微信支付在出道時利用春節期間的“紅包大戰”爭取用戶相似,“云閃付”也想利用紅包來吸引用戶↓↓↓,數額嘛,應該已經發了上千個2018塊的紅包了。
按理來說,有了傳統金融機構的背書,“云閃付”應該在安全性上更容易讓用戶信賴。但剛剛誕生沒多久的云閃付就暴露出了安全問題:網絡上有專業技術人員發現,“云閃付”紅包分享鏈接能還原手機號。
2月8日,“云閃付”的官方微博也緊急發表了對這個安全問題的聲明:
經過求證,后臺的程序員給了幾點回復。
1、本次活動初衷是邀請親友領紅包,對于發起人手機號采取了通用的base64編碼。經過提醒發現確實本次加密算法等級較低,針對此情況,我們正在組織技術力量全力修復,目前已經完成技術開發,正在緊急測試,預計今日新版本上線后正式生效。
2、本次活動過程中發現部分用戶非常熱心,主動在論壇等公開渠道發起邀請,因此邀請人發布信息范圍內有一定技術能力的陌生網友可能通過技術手段解密手機號。但是鏈接本身不經過技術處理是無法直接還原手機號的。
3、被解密的內容僅限邀請人的手機號,無法與其他要素匹配,其他信息及被邀請人信息都是安全的。
大家都知道,我們發紅包的時候,一個紅包就是一個鏈接,那聲明中“通用的base64編碼”是什么?會有哪些后果?現在依然存在這個問題么?
base64是一種解碼方式比較簡單通用的編碼方法,針對它的解碼工具比較多,目前就有不少在線解碼的網站。
據頂象技術的安全專家透露,如果用戶的鏈接被解碼,黑產人員可以獲取到手機號,冒充云閃付官方人員實施電信詐騙、冒充官方發送短信給用戶,甚至推送山寨云閃付APP等也有可能。
常規來講,在涉及用戶隱私信息的交互上,不應該放到鏈接中,而是應當通過ID、隨機串等不可枚舉和遞歸的標記,與后臺用戶對應,這是相關的研發人員安全意識缺乏導致。
那現在的紅包鏈接依然還有這個問題嗎?雷鋒網注冊了一個“云閃付”APP,點右邊綠色框中的紅包,然后微信分享給頂象技術的安全專家。
據安全專家測試,現在已經不是base64的編碼了,而是改成了MD5加密(這是計算機廣泛使用的雜湊算法之一,將數據運算為固定長度值)。但是,雷鋒網此前也報道過,MD5目前也可逆向破解,所以也不能說是百分之百的安全。
如何避免類似的問題再出現?安全專家建議:
首先,修改當前不合理的邏輯和編碼設計:例如,杜絕在鏈接上來實現隱私信息的校驗記錄,對數據的傳輸進行加密等。
其次,在云閃付App部署相關的安全SDK,保障App的鏈路(http接口、鏈接)的代碼安全,防止被解碼逆向破解等。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
