摸鱼刷微信的时候看到的,大家怎么看。
原文: https://innora.ai/zfb/regulatory-complaint.html
代码解析: https://github.com/sgInnora/alipay-securityguard-analysis
30 条回复 • 2026-03-19 00:31:08 +08:00
 |
1
7gugu 10 小时 22 分钟前
这个太恶心了吧
|
 |
2
tanxnative 10 小时 14 分钟前
看起来是自己做的一个白名单, 然后被爆了
|
 |
3
strobber16 10 小时 12 分钟前
这么爱国啊
|
 |
4
Cooky 10 小时 6 分钟前 via Android
绝大部分国产 app 估计都这德行
|
 |
5
mcluyu 10 小时 1 分钟前
deeplink 打开 app 加载任意 web 页面, 通过支付宝内部已有的 JS bridge 查询数据或执行操作, 话说这些操作都不验证域名的吗? 谁来都可以调用自己 app 内部的方法?, 有点草台了..
|
 |
6
labubu 9 小时 44 分钟前
基本操作,国产 app 都这样
 |
 |
7
qiqw 9 小时 42 分钟前
https://ds.alipay.com/?scheme=alipays://platformapi/startapp?appId=20000067&url=xx 怪不得信息泄露这么严重, 日常支付就是支付宝, 哈哈哈
|
|
8
qiqw 9 小时 40 分钟前
不知道微信有没有这样的漏洞
|
 |
9
Rickkkkkkk 9 小时 39 分钟前
忘记乌云是怎么没的了?
|
 |
10
Shaar 9 小时 37 分钟前
不奇怪,而且你拿他没办法,之前 PDD 专门搞漏洞也没后文,大企业就是这样
|
 |
11
psllll 9 小时 33 分钟前  1
|
 |
12
shimanooo 9 小时 32 分钟前
得问摩萨德
|
 |
13
rev0 9 小时 31 分钟前
自己抓包看了一下,还会扫 wifi 、蓝牙,mac 地址和设备名也会上报...
|
 |
14
bkmi 9 小时 30 分钟前 via Android
ChangeQuickRedirect 不是美团的热更新框架 Robust 嘛
|
 |
15
hua7328wang 9 小时 28 分钟前 via iPhone
可怕
|
 |
16
Peek 8 小时 54 分钟前
我用 pixel ,装的 play 版的,看了下权限只有位置,相机,音乐音频,照片和视频,其他都是拒绝的
|
 |
17
crime1024 8 小时 32 分钟前
阿里反手就是:破坏计算机信息系统罪 把你送走信不信
|
 |
18
jocover 8 小时 12 分钟前
这是木马啦
|
 |
19
bitkuang 7 小时 34 分钟前 via Android
只要不鸡儿扫码就影响不大
|
 |
20
rb6221 7 小时 3 分钟前
看了下,大部分都可以归为安全漏洞一类,然后最后一项确实很讨厌,这个也就是常说的热更新,并不是什么新鲜玩意。
从行文语气和用词来看,作者不像搞应用开发的,因为很多东西都有成熟的术语,但是作者用了挺拗口的表达。 至于 alipay 官方是蠢还是坏,都有吧,蠢这部分是全世界全行业都有的,漏洞嘛。坏我也不能说是国内特色,不然要被质疑站队了 |
 |
22
ntedshen 6 小时 47 分钟前 2
但是吧。。。
。。。你说这事很大这事很特色这事很国产吧 阿美的 cve 也是只说提交但是没看见号,全球的金融机构也是只启动调查没有下文。。。 这好多 bro 开的香槟感觉简直和气急败坏是一个意思。。。 |
 |
23
Hypixel 6 小时 39 分钟前 via Android
利好各类第三方的支付宝扫码/小程序/跳转支付场景,可以狠狠地拿用户信息/掺杂灰产了
有一说一,就我个人体验而言,微信在扫码/小程序这方面的安全控制做得比支付宝好太多了,所以我前段时间把所有的小程序从支付宝都迁移到微信了 |
 |
24
liuxue 6 小时 30 分钟前
在 iOS 上继续用,反正是国内的手机号,这些又不能不用
|
 |
25
zachary99 6 小时 26 分钟前 via Android
我冻结所有的国产 app ,除了系统 app 和微信以外,希望微信没这种情况。不过,话说支付宝 play 版,应该不允许这些吧
|
 |
26
wbrobot 6 小时 0 分钟前
怪不得支付宝支付越做越烂,开个屏要等半天,首页加载一堆垃圾,被微信支付抢占市场是应该的。
|
 |
27
anivie 4 小时 54 分钟前
苹果之前不是对热更新嗤之以鼻吗,为什么现在 APP 搞得跟网页一样全是动态执行苹果也不嗷两下子
 |
 |
28
icyalala 4 小时 47 分钟前 2
看到这种浓浓 AI 文章推荐直接关掉
你要浪费大量时间来调查和判断里面的每个细节,结果发现最终发现是哗众取宠 |
 |
29
docx 3 小时 47 分钟前 via iPhone
上报不意外,之前抓包就发展有一堆无关请求
|
 |
30
osilinka 3 小时 31 分钟前
我在 play 版本,并没有需要很多权限啊
|
Select Language