近幾年，移動支付在支付、理財(cái)與小額信貸等領(lǐng)域都顯示出巨大的發(fā)展前景。 2017年底，在中國人民銀行的指導(dǎo)下，中國銀聯(lián)攜手各大商業(yè)銀行、支付機(jī)構(gòu)等產(chǎn)業(yè)伙伴共同發(fā)布了自己的移動端支付入口——銀行業(yè)統(tǒng)一APP“云閃付”，它有銀聯(lián)的背書、有央行領(lǐng)導(dǎo)的站臺，還有各大商業(yè)銀行的支持。

按理來說，有了傳統(tǒng)金融機(jī)構(gòu)的背書，“云閃付”應(yīng)該在安全性上更容易讓用戶信賴。但剛剛誕生沒多久的云閃付就暴露出了安全問題：網(wǎng)絡(luò)上有專業(yè)技術(shù)人員發(fā)現(xiàn)，“云閃付”紅包分享鏈接能還原手機(jī)號。

經(jīng)過求證，后臺的程序員給了幾點(diǎn)回復(fù)。

1、本次活動初衷是邀請親友領(lǐng)紅包，對于發(fā)起人手機(jī)號采取了通用的base64編碼。經(jīng)過提醒發(fā)現(xiàn)確實(shí)本次加密算法等級較低，針對此情況，我們正在組織技術(shù)力量全力修復(fù)，目前已經(jīng)完成技術(shù)開發(fā)，正在緊急測試，預(yù)計(jì)今日新版本上線后正式生效。

2、本次活動過程中發(fā)現(xiàn)部分用戶非常熱心，主動在論壇等公開渠道發(fā)起邀請，因此邀請人發(fā)布信息范圍內(nèi)有一定技術(shù)能力的陌生網(wǎng)友可能通過技術(shù)手段解密手機(jī)號。但是鏈接本身不經(jīng)過技術(shù)處理是無法直接還原手機(jī)號的。

3、被解密的內(nèi)容僅限邀請人的手機(jī)號，無法與其他要素匹配，其他信息及被邀請人信息都是安全的。

那聲明中“通用的base64編碼”是什么？會有哪些后果？現(xiàn)在依然存在這個(gè)問題么？

base64是一種解碼方式比較簡單通用的編碼方法，針對它的解碼工具比較多，目前就有不少在線解碼的網(wǎng)站。

據(jù)安全專家透露，如果用戶的鏈接被解碼，黑產(chǎn)人員可以獲取到手機(jī)號，冒充云閃付官方人員實(shí)施電信詐騙、冒充官方發(fā)送短信給用戶，甚至推送山寨云閃付APP等也有可能。常規(guī)來講，在涉及用戶隱私信息的交互上，不應(yīng)該放到鏈接中，而是應(yīng)當(dāng)通過ID、隨機(jī)串等不可枚舉和遞歸的標(biāo)記，與后臺用戶對應(yīng)，這是相關(guān)的研發(fā)人員安全意識缺乏導(dǎo)致。

ice

收藏 海報(bào)分享