咸鱼/淘宝交易慎扫不明二维码

admin

支付宝流程设计存在安全缺陷，会导致跨域攻击，咸鱼/淘宝交易慎扫不明二维码

目前支付宝存在逻辑漏洞，一个精心构造的虚假页面可以直接拉起确认收货提示框，如果此时确认收货会钱货两空。
虽然确认收货需要二次验证（密码、指纹、面容），但如果使用了 Face ID，这个二次验证基本等于自动确认。Mozzie（蚊子）大佬录制了一段视频来展示复现过程，可以看到在开启 Face ID 的情况下会直接完成确认收货操作。
目前支付宝似乎已对大额交易进行风控（确认收货后仍然冻结 3 天资金），但是小额交易仍需谨慎。
这个问题在一周前就已在知乎（相关文章）和小红书等平台被数人提起，但至今除了风控之外没有进一步动作。（Soha 的日常频道）

淘宝系 App 本身并不提供担保服务，担保交易功能由支付宝提供。这个接口是公开的 isbridge 接口，不管是阿里系还是第三方都在调用这个接口。接口设计之初并没有考虑到根据调用域名来鉴权，所以并不容易改动。

PS ：看起来调用这个接口时支付宝并没有做二次确认，直接触发了确认流程（ FaceID ) ，连付款都是假的。这个页面全套流程都是假的，但用户看到的流程和「支付 1 元」的流程别无二致，大概也是这么多人上当的原因。反而不是代码上的漏洞，而是逻辑上的漏洞。最简单的修复方式大概是在支付宝 SOK 里对「确认收货」行为做二次弹窗确认了。

在官方修复前（距问题发现已一周多），目前能想到的缓解措施如下：

· 避免扫难以确认安全性的二维码，尤其是在网购交易过程中
· 关闭人脸支付，避免扫到问题二维码后，无交互式的直接确认了
· 关闭小额免密支付


给你个二维码，扫描后看上去是支付运费，其实是咸鱼交易确认收货

1. 先用支付宝 schema 打开第三方的网址：alipays://platformapi/startapp?appId=20000067&url=http://kgnb763n.blogqt.gq/index.php

2. 在 http://kgnb763n.blogqt.gq/index.php 的网页里面通过伪装的 0 元确认按钮事件触发: AlipayJSBridge.call("tradePay", { tradeNO: "2023042622001174211404250439" }, function(result) {});

其中 tradeNO 对应的就是闲鱼的订单号，所以就会出现扫个码就把订单给确认了的情况。

https://www.v2ex.com/t/937597