一、漏洞复现

昨天晚上，刷到一个支付宝漏洞的帖子，

作者的攻击方式公布的很详细，

而且“贴心”的准备了演示页面，

可以一键测试，

简单一点说，这个攻击不是说能够直接把你的钱取走，

而是当你点击一个链接，攻击者就能得到一些你的一些支付宝信息，

我们用安卓手机测试了一下，比较重要的信息有这些（附图片）：

1.手机型号（手机指纹）

没错只有这一个，哈哈，

gps也是比较重要的信息，但应该是被修复了，没有显示，

而且现在的安卓手机一般都是默认不给GPS权限，

基本上他也想获取也很难获取到了。

苹果我这边没有复现，但根据作者说的，

定位窃取会更容易，其他的和安卓半斤八两。

还有作者重点强调了“零交互 攻击链”

简单点说，就是你点击一个链接，再点确定打开支付宝，

他就能跳转到支付宝一个固定页面，

比如跳到，转账记录，余额宝余额，生活缴费等

看完这个，你应该对这个漏洞有个大概的了解，

嗯，基本你可以做出自己的判断了，

如果你支持这个算是高危漏洞，那你就是和漏洞作者判断一致。

如果认为这不算大漏洞，算是正常功能，那你和支付宝的安全团队一个立场。

简单复盘一下，就是漏洞作者发现该问题，反馈给支付宝安全团队，

安全团队了解后认为是正常功能，不是漏洞，作者不服气，

于是把这个问题公开在互联网上，并向一些机构进行了举报，

从这个举报的内容来看，目前只是调查阶段，并没有什么实际的进展，

也许我们应该让子弹再飞一会。

二、这种漏洞为什么会产生争议？

其实这种漏洞在安全圈并不少见。
很多时候，安全研究员认为是漏洞，而厂商认为是“正常功能设计”

比如25年三月份的ESP32乐鑫 芯片存在“后门”事件，也是类似的争议。

当时有安全研究员认为芯片中存在隐藏调试接口，可能被利用为后门，但厂商解释这是正常的调试功能。

很多安全争议，本质是：

• 安全研究员视角：
  只要能获取用户信息 → 就是安全问题，
• 厂商视角：
  这是产品功能的一部分，

举例：

• deeplink 跳转，
• app schema，
• webview 信息获取，

其实很多 超级 App 都有这种能力。

从安全研究员角度，这是“攻击链”；
从产品经理角度，这只是“功能联动”。

三、“零交互攻击链”真的那么可怕吗

所谓 零交互攻击链，实际上还是需要：

1️⃣ 用户点击链接，
2️⃣ 用户确认打开支付宝，
3️⃣ 跳转到特定页面，

这其实已经有 2次用户操作。

所以安全圈会出现两种观点：

激进派

• 只要用户点一次链接，
• 就能触发 APP 行为，
• 就应该算漏洞，

保守派

• 用户已经确认打开 APP，
• 这是用户授权行为，
• 不能算漏洞，

这类争议在安全圈其实挺常见的。

四、安全研究员与厂商的“爱恨情仇”

安全圈其实一直有一种微妙关系：

安全研究员希望：

• 发现漏洞，
• 提交漏洞，
• 获得奖励，
• 提升名气，

厂商希望：

• 系统安全，
• 但不要被误报漏洞，
• 不要被公开“打脸”，

于是就会出现三种经典剧情，

剧情一：厂商秒修

研究员提交漏洞 → 厂商确认 → 修复 → 发奖金。

皆大欢喜。

剧情二：厂商认为不是漏洞

厂商：

这是正常功能。

研究员：

这是安全问题。

然后双方开始 battle。

剧情三：漏洞直接被公开

如果双方谈不拢，就会出现：

• 公开漏洞，
• 发博客，
• 发 PoC，
• 甚至举报监管机构，

这次支付宝事件，其实就有一点这个味道。

我想说，对于我们普通用户，其实不用太焦虑，

其实从目前公开的信息来看：

没有资金被盗，

没有远程控制，

主要是信息获取，

以及页面跳转，

所以我们作为普通用户：

✔ 不乱点链接

✔ 不给奇怪权限

✔ 注意钓鱼页面

基本就足够了。

在安全圈里，有一句老话：

“没有绝对安全的系统，只有还没被发现的问题。”

这次支付宝的事件到底算不算漏洞，可能还需要时间来判断。

但有一点是确定的——

安全研究员和厂商之间的故事，大概永远都不会结束。

感谢看完，如果觉得这篇“文章”对你有帮助，随手点个赞、在看、转发三连吧。

如果想第一时间看到我的文章，也可以给我个星标**⭐**。

当您发现文章有错误，欢迎您在评论区指出，或者私下联系我，

～~谢谢你看我的文章，我们，下期再见。