近幾年，移動支付在支付、理財與小額信貸等領(lǐng)域都顯示出巨大的發(fā)展前景，引來巨頭紛紛入場廝殺，從最先開始支付寶和微信各種優(yōu)惠的“火拼”大戰(zhàn)，再到京東支付、美團支付與蘇寧支付等依靠自身主業(yè)和交易場景來殺入移動支付，最近，雷鋒網(wǎng)發(fā)現(xiàn)，一個更加強勁的對手“云閃付”來了。

它有銀聯(lián)的背書、有央行領(lǐng)導(dǎo)的站臺，還有各大商業(yè)銀行的支持，總之，與京東美團支付等后來者相比，“云閃付”更像是個含著金鑰匙出生的小孩，大家可以從新聞中感受下它出生時的陣仗↓↓↓

2017年12月11日，在中國人民銀行的指導(dǎo)下，中國銀聯(lián)攜手各大商業(yè)銀行、支付機構(gòu)等產(chǎn)業(yè)伙伴共同發(fā)布了自己的移動端支付入口——銀行業(yè)統(tǒng)一APP“云閃付”，來與阿里巴巴、騰訊等互聯(lián)網(wǎng)巨頭共同搶灘移動支付市場。

中國人民銀行副行長范一飛、中國鐵路總公司總會計師余邦利、中國銀聯(lián)總裁時文朝、17家全國性商業(yè)銀行負責(zé)人、14家區(qū)域性銀行負責(zé)人以及人民銀行、支付清算協(xié)會、非銀行支付機構(gòu)、手機廠商、合作商戶代表共同出席了發(fā)布儀式，為“云閃付”App站臺。

不僅背景很硬，在爭取用戶這件事上，“云閃付”出手也很是闊綽，與當(dāng)年微信支付在出道時利用春節(jié)期間的“紅包大戰(zhàn)”爭取用戶相似，“云閃付”也想利用紅包來吸引用戶↓↓↓，數(shù)額嘛，應(yīng)該已經(jīng)發(fā)了上千個2018塊的紅包了。

按理來說，有了傳統(tǒng)金融機構(gòu)的背書，“云閃付”應(yīng)該在安全性上更容易讓用戶信賴。但剛剛誕生沒多久的云閃付就暴露出了安全問題：網(wǎng)絡(luò)上有專業(yè)技術(shù)人員發(fā)現(xiàn)，“云閃付”紅包分享鏈接能還原手機號。

2月8日，“云閃付”的官方微博也緊急發(fā)表了對這個安全問題的聲明：

經(jīng)過求證，后臺的程序員給了幾點回復(fù)。

1、本次活動初衷是邀請親友領(lǐng)紅包，對于發(fā)起人手機號采取了通用的base64編碼。經(jīng)過提醒發(fā)現(xiàn)確實本次加密算法等級較低，針對此情況，我們正在組織技術(shù)力量全力修復(fù)，目前已經(jīng)完成技術(shù)開發(fā)，正在緊急測試，預(yù)計今日新版本上線后正式生效。

2、本次活動過程中發(fā)現(xiàn)部分用戶非常熱心，主動在論壇等公開渠道發(fā)起邀請，因此邀請人發(fā)布信息范圍內(nèi)有一定技術(shù)能力的陌生網(wǎng)友可能通過技術(shù)手段解密手機號。但是鏈接本身不經(jīng)過技術(shù)處理是無法直接還原手機號的。

3、被解密的內(nèi)容僅限邀請人的手機號，無法與其他要素匹配，其他信息及被邀請人信息都是安全的。

大家都知道，我們發(fā)紅包的時候，一個紅包就是一個鏈接，那聲明中“通用的base64編碼”是什么？會有哪些后果？現(xiàn)在依然存在這個問題么？

base64是一種解碼方式比較簡單通用的編碼方法，針對它的解碼工具比較多，目前就有不少在線解碼的網(wǎng)站。

據(jù)頂象技術(shù)的安全專家透露，如果用戶的鏈接被解碼，黑產(chǎn)人員可以獲取到手機號，冒充云閃付官方人員實施電信詐騙、冒充官方發(fā)送短信給用戶，甚至推送山寨云閃付APP等也有可能。

常規(guī)來講，在涉及用戶隱私信息的交互上，不應(yīng)該放到鏈接中，而是應(yīng)當(dāng)通過ID、隨機串等不可枚舉和遞歸的標(biāo)記，與后臺用戶對應(yīng)，這是相關(guān)的研發(fā)人員安全意識缺乏導(dǎo)致。

那現(xiàn)在的紅包鏈接依然還有這個問題嗎？雷鋒網(wǎng)注冊了一個“云閃付”APP，點右邊綠色框中的紅包，然后微信分享給頂象技術(shù)的安全專家。

據(jù)安全專家測試，現(xiàn)在已經(jīng)不是base64的編碼了，而是改成了MD5加密（這是計算機廣泛使用的雜湊算法之一，將數(shù)據(jù)運算為固定長度值）。但是，雷鋒網(wǎng)此前也報道過，MD5目前也可逆向破解，所以也不能說是百分之百的安全。

如何避免類似的問題再出現(xiàn)？安全專家建議：

首先，修改當(dāng)前不合理的邏輯和編碼設(shè)計：例如，杜絕在鏈接上來實現(xiàn)隱私信息的校驗記錄，對數(shù)據(jù)的傳輸進行加密等。

其次，在云閃付App部署相關(guān)的安全SDK，保障App的鏈路（http接口、鏈接）的代碼安全，防止被解碼逆向破解等。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。