云閃付最近紅包活動(dòng)著實(shí)給力��,大大小小的紅包將用戶使用人數(shù)提升到一個(gè)頂峰�����,云閃付的活動(dòng)策略顯然是對的��,然而這幾天云閃付被爆出了安全危機(jī)��。下面我們來看看具體的情況���。
近幾年�,移動(dòng)支付在支付�、理財(cái)與小額信貸等領(lǐng)域都顯示出巨大的發(fā)展前景,引來巨頭紛紛入場廝殺,從最先開始支付寶和微信各種優(yōu)惠的“火拼”大戰(zhàn)��,再到京東支付�、美團(tuán)支付與蘇寧支付等依靠自身主業(yè)和交易場景來殺入移動(dòng)支付,最近����,雷鋒網(wǎng)發(fā)現(xiàn),一個(gè)更加強(qiáng)勁的對手“云閃付”來了����。
它有銀聯(lián)的背書、有央行領(lǐng)導(dǎo)的站臺�����,還有各大商業(yè)銀行的支持��,總之�,與京東美團(tuán)支付等后來者相比,“云閃付”更像是個(gè)含著金鑰匙出生的小孩�����,大家可以從新聞中感受下它出生時(shí)的陣仗↓↓↓
2017年12月11日,在中國人民銀行的指導(dǎo)下���,中國銀聯(lián)攜手各大商業(yè)銀行����、支付機(jī)構(gòu)等產(chǎn)業(yè)伙伴共同發(fā)布了自己的移動(dòng)端支付入口——銀行業(yè)統(tǒng)一APP“云閃付”���,來與阿里巴巴����、騰訊等互聯(lián)網(wǎng)巨頭共同搶灘移動(dòng)支付市場��。
中國人民銀行副行長范一飛��、中國鐵路總公司總會(huì)計(jì)師余邦利�、中國銀聯(lián)總裁時(shí)文朝、17家全國性商業(yè)銀行負(fù)責(zé)人���、14家區(qū)域性銀行負(fù)責(zé)人以及人民銀行����、支付清算協(xié)會(huì)��、非銀行支付機(jī)構(gòu)、手機(jī)廠商��、合作商戶代表共同出席了發(fā)布儀式���,為“云閃付”App站臺�����。
不僅背景很硬����,在爭取用戶這件事上��,“云閃付”出手也很是闊綽�,與當(dāng)年微信支付在出道時(shí)利用春節(jié)期間的“紅包大戰(zhàn)”爭取用戶相似���,“云閃付”也想利用紅包來吸引用戶↓↓↓�,數(shù)額嘛��,應(yīng)該已經(jīng)發(fā)了上千個(gè)2018塊的紅包了��。
按理來說,有了傳統(tǒng)金融機(jī)構(gòu)的背書,“云閃付”應(yīng)該在安全性上更容易讓用戶信賴����。但剛剛誕生沒多久的云閃付就暴露出了安全問題:網(wǎng)絡(luò)上有專業(yè)技術(shù)人員發(fā)現(xiàn),“云閃付”紅包分享鏈接能還原手機(jī)號��。
2月8日�,“云閃付”的官方微博也緊急發(fā)表了對這個(gè)安全問題的聲明:
經(jīng)過求證�����,后臺的程序員給了幾點(diǎn)回復(fù)�。
1、本次活動(dòng)初衷是邀請親友領(lǐng)紅包��,對于發(fā)起人手機(jī)號采取了通用的base64編碼����。經(jīng)過提醒發(fā)現(xiàn)確實(shí)本次加密算法等級較低,針對此情況���,我們正在組織技術(shù)力量全力修復(fù)�����,目前已經(jīng)完成技術(shù)開發(fā)���,正在緊急測試�����,預(yù)計(jì)今日新版本上線后正式生效����。
2�、本次活動(dòng)過程中發(fā)現(xiàn)部分用戶非常熱心,主動(dòng)在論壇等公開渠道發(fā)起邀請�,因此邀請人發(fā)布信息范圍內(nèi)有一定技術(shù)能力的陌生網(wǎng)友可能通過技術(shù)手段解密手機(jī)號。但是鏈接本身不經(jīng)過技術(shù)處理是無法直接還原手機(jī)號的�。
3、被解密的內(nèi)容僅限邀請人的手機(jī)號�,無法與其他要素匹配�����,其他信息及被邀請人信息都是安全的����。
大家都知道�,我們發(fā)紅包的時(shí)候�����,一個(gè)紅包就是一個(gè)鏈接�,那聲明中“通用的base64編碼”是什么?會(huì)有哪些后果?現(xiàn)在依然存在這個(gè)問題么?
base64是一種解碼方式比較簡單通用的編碼方法,針對它的解碼工具比較多��,目前就有不少在線解碼的網(wǎng)站���。
據(jù)頂象技術(shù)的安全專家透露����,如果用戶的鏈接被解碼�,黑產(chǎn)人員可以獲取到手機(jī)號,冒充云閃付官方人員實(shí)施電信詐騙���、冒充官方發(fā)送短信給用戶�����,甚至推送山寨云閃付APP等也有可能����。
常規(guī)來講,在涉及用戶隱私信息的交互上�,不應(yīng)該放到鏈接中,而是應(yīng)當(dāng)通過ID���、隨機(jī)串等不可枚舉和遞歸的標(biāo)記�,與后臺用戶對應(yīng)�,這是相關(guān)的研發(fā)人員安全意識缺乏導(dǎo)致。
那現(xiàn)在的紅包鏈接依然還有這個(gè)問題嗎?雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))注冊了一個(gè)“云閃付”APP���,點(diǎn)右邊綠色框中的紅包����,然后微信分享給頂象技術(shù)的安全專家��。
據(jù)安全專家測試�,現(xiàn)在已經(jīng)不是base64的編碼了,而是改成了MD5加密(這是計(jì)算機(jī)廣泛使用的雜湊算法之一����,將數(shù)據(jù)運(yùn)算為固定長度值)���。但是�����,雷鋒網(wǎng)此前也報(bào)道過�����,MD5目前也可逆向�,所以也不能說是百分之百的安全。
如何避免類似的問題再出現(xiàn)?安全專家建議:
首先�����,修改當(dāng)前不合理的邏輯和編碼設(shè)計(jì):例如��,杜絕在鏈接上來實(shí)現(xiàn)隱私信息的校驗(yàn)記錄�����,對數(shù)據(jù)的傳輸進(jìn)行加密等����。
其次,在云閃付App部署相關(guān)的安全SDK��,保障App的鏈路(http接口、鏈接)的代碼安全����,防止被解碼逆向等。
