目前支付宝存在逻辑漏洞,一个精心构造的虚假页面可以直接拉起确认收货提示框,如果此时确认收货会钱货两空。
虽然确认收货需要二次验证(密码、指纹、面容),但如果使用了 Face ID,这个二次验证基本等于自动确认。
目前支付宝似乎已对大额交易进行风控(确认收货后仍然冻结 3 天资金),但是小额交易仍需谨慎。
这个问题在一周前就已在知乎(相关文章)和小红书等平台被数人提起,但至今除了风控之外没有进一步动作。
淘宝系 App 本身并不提供担保服务,担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口,不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权,所以并不容易改动。
PS :看起来调用这个接口时支付宝并没有做二次确认,直接触发了确认流程( FaceID ) ,连付款都是假的。这个页面全套流程都是假的,但用户看到的流程和「支付 1 元」的流程别无二致,大概也是这么多人上当的原因。反而不是代码上的漏洞,而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。
在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:
· 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
· 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
· 关闭小额免密支付
—— V2EX
支付宝江西省信息中心安全认证
阅读全文>>2023-06-27 00:45:30
支付宝的安全设置措施有哪些(支付宝怎样解决安全风险)
阅读全文>>2023-06-27 01:20:26
支付宝的安全验证在哪(支付宝认证怎么弄安全)
阅读全文>>2023-06-27 01:10:59
支付宝的安全检测怎么关闭(支付宝怎么关闭检测风险)
阅读全文>>2023-06-27 00:46:38
支付宝用什么检测安全(支付宝安全中心提醒什么意思)
阅读全文>>2023-06-27 00:58:45
支付宝最新安全验证问题回答(支付宝身份验证有风险吗)
阅读全文>>2023-06-27 00:54:04
支付宝开通安全校验服务(支付宝里的安全校验在哪里)
阅读全文>>2023-06-27 01:03:50
支付宝使用哪些安全协议(支付宝安全通知规范使用)
阅读全文>>2023-06-27 01:19:17
支付宝的安全验证在哪里(支付宝登录怎么关闭安全验证)
阅读全文>>2023-06-27 00:48:13
支付宝登录安全校验是什么意思(支付宝安全提醒是什么意思)
阅读全文>>2023-06-27 01:18:04
