
# 一、漏洞复现

昨天晚上，刷到一个支付宝漏洞的帖子，
作者的攻击方式公布的很详细，
而且“贴心”的准备了演示页面，
可以一键测试，
![image-20260314022627653](https://developer.qcloudimg.com/http-save/yehe-12189619/155a484c3e52cfee77df6aa7d383f20d.webp)
简单一点说，这个攻击不是说能够直接把你的钱取走，
而是当你点击一个链接，攻击者就能得到一些你的一些支付宝信息，
我们用安卓手机测试了一下，比较重要的信息有这些（附图片）：
1.手机型号（手机指纹）
![image-20260314025008107](https://developer.qcloudimg.com/http-save/yehe-12189619/e4d130e954be0232b04a1bf5fc70f83f.webp)
没错只有这一个，哈哈，
gps也是比较重要的信息，但应该是被修复了，没有显示，
![image-20260314025439772](https://developer.qcloudimg.com/http-save/yehe-12189619/5bd58ffd0dd9cfc132c1bdddc1359fcb.webp)
而且现在的安卓手机一般都是默认不给GPS权限，
基本上他也想获取也很难获取到了。
苹果我这边没有复现，但根据作者说的，
定位窃取会更容易，其他的和安卓半斤八两。
![image-20260314030233892](https://developer.qcloudimg.com/http-save/yehe-12189619/1a5cad4b762c660f0b29992d85c9d8a8.webp)

还有作者重点强调了“零交互 攻击链”
简单点说，就是你点击一个链接，再点确定打开支付宝，
他就能跳转到支付宝一个固定页面，
比如跳到，转账记录，余额宝余额，生活缴费等
![image-20260314030926044](https://developer.qcloudimg.com/http-save/yehe-12189619/2aa0ece6091c78583e4023bbd11d17cc.webp)
![image-20260314030934261](https://developer.qcloudimg.com/http-save/yehe-12189619/837e18bd20600b91d73c47a603c2b9aa.webp)
看完这个，你应该对这个漏洞有个大概的了解，
嗯，基本你可以做出自己的判断了，
如果你支持这个算是高危漏洞，那你就是和漏洞作者判断一致。
如果认为这不算大漏洞，算是正常功能，那你和支付宝的安全团队一个立场。
![image-20260314031549884](https://developer.qcloudimg.com/http-save/yehe-12189619/ab756651646f37c16a910230f8fe5be4.webp)
简单复盘一下，就是漏洞作者发现该问题，反馈给支付宝安全团队，
安全团队了解后认为是正常功能，不是漏洞，作者不服气，
于是把这个问题公开在互联网上，并向一些机构进行了举报，
从这个举报的内容来看，目前只是调查阶段，并没有什么实际的进展，
也许我们应该让子弹再飞一会。
![image-20260314031921233](https://developer.qcloudimg.com/http-save/yehe-12189619/5e03981a7cdfaa4ddbd3b5d28230d11d.webp)
# 二、这种漏洞为什么会产生争议？

>其实这种漏洞在安全圈并不少见。 很多时候，安全研究员认为是漏洞，而厂商认为是“正常功能设计”


比如25年三月份的ESP32乐鑫 芯片存在“后门”事件，也是类似的争议。
当时有安全研究员认为芯片中存在隐藏调试接口，可能被利用为后门，但厂商解释这是正常的调试功能。

![image-20260314032725771](https://developer.qcloudimg.com/http-save/yehe-12189619/8a77a493c3d2fb3b613e0225745521cc.webp)
很多安全争议，本质是：
- **安全研究员视角**：  只要能获取用户信息 → 就是安全问题，
- **厂商视角**：  这是产品功能的一部分，

举例：
- deeplink 跳转，
- app schema，
- webview 信息获取，

其实很多 **超级 App 都有这种能力**。
>从安全研究员角度，这是“攻击链”；  从产品经理角度，这只是“功能联动”。

## 三、“零交互攻击链”真的那么可怕吗

所谓 **零交互攻击链**，实际上还是需要：
1️⃣ 用户点击链接， 2️⃣ 用户确认打开支付宝， 3️⃣ 跳转到特定页面，
这其实已经有 **2次用户操作**。
所以安全圈会出现两种观点：
**激进派**
- 只要用户点一次链接，
- 就能触发 APP 行为，
- 就应该算漏洞，

**保守派**
- 用户已经确认打开 APP，
- 这是用户授权行为，
- 不能算漏洞，

这类争议在安全圈其实挺常见的。
![image-20260314035336922](https://developer.qcloudimg.com/http-save/yehe-12189619/ad2ce8fdc9301c0acbd4c8a70b9bc867.webp)
# 四、安全研究员与厂商的“爱恨情仇”

安全圈其实一直有一种微妙关系：
**安全研究员**希望：
- 发现漏洞，
- 提交漏洞，
- 获得奖励，
- 提升名气，

**厂商**希望：
- 系统安全，
- 但不要被误报漏洞，
- 不要被公开“打脸”，

于是就会出现三种经典剧情，
### 剧情一：厂商秒修

研究员提交漏洞 → 厂商确认 → 修复 → 发奖金。
皆大欢喜。
### 剧情二：厂商认为不是漏洞

厂商：
>这是正常功能。

研究员：
>这是安全问题。

然后双方开始 **battle**。
### 剧情三：漏洞直接被公开

如果双方谈不拢，就会出现：
- 公开漏洞，
- 发博客，
- 发 PoC，
- 甚至举报监管机构，

这次支付宝事件，其实就有一点这个味道。
![image-20260314035433750](https://developer.qcloudimg.com/http-save/yehe-12189619/7518f3381aa267fefbe5c9b962394e03.webp)
我想说，对于我们普通用户，其实不用太焦虑，
其实从目前公开的信息来看：
没有资金被盗，
没有远程控制，
主要是信息获取，
以及页面跳转，
所以我们作为普通用户：
✔ 不乱点链接
✔ 不给奇怪权限
✔ 注意钓鱼页面
基本就足够了。
在安全圈里，有一句老话：
**“没有绝对安全的系统，只有还没被发现的问题。”**
这次支付宝的事件到底算不算漏洞，可能还需要时间来判断。
但有一点是确定的——
**安全研究员和厂商之间的故事，大概永远都不会结束。**

>感谢看完，如果觉得这篇“文章”对你有帮助，**随手点个赞、在看、转发三连吧**。
如果想第一时间看到我的文章，也可以给我个**星标****⭐**。
当您发现文章有错误，欢迎您在评论区指出，或者私下联系我，
～~谢谢你看我的文章，我们，下期再见。

昨天晚上，刷到一个支付宝漏洞的帖子，作者的攻击方式公布的很详细，而且“贴心”的准备了演示页面，可以一键测试，简单一点说，这个攻击不是说能够直接把你的钱取走，而是当你点击一个链接，攻击者就能得到一些你的一些支付宝信息，我们用安卓手机测试了一下，比较重要的信息有这些（附图片）：1.手机型号（手机指纹）没错只有这一个，哈哈，gps也是比较重要的信息，但应该是被修复了，没有显示，而且现在的安卓手机一般都是默认不给GPS权限，基本上他也想获取也很难获取到了。苹果我这边没有复现，但根据作者说的，定位窃取会更容易，其他的和安卓半斤八两。

聊聊这次的支付宝漏洞，以及安全研究员与厂商的爱恨情仇

昨天晚上，刷到一个支付宝漏洞的帖子，作者的攻击方式公布的很详细，而且“贴心”的准备了演示页面，可以一键测试，简单一点说，这个攻击不是说能够直接把你的钱取走，而是当你点击一个链接，攻击者就能得到一些你的一些支付宝信息，我们用安卓手机测试了一下，比较重要的信息有这些（附图片）：1.手机型号（手机指纹）没错只有这一个，哈哈，gps也是比较重要的信息，但应该是被修复了，没有显示，而且现在的安卓手机一般都是

安全

职业发展

新闻资讯

支付宝漏洞争议：安全研究员发现零交互攻击链可获取用户信息，但厂商认为是正常功能。该漏洞需用户点击链接并确认打开支付宝，引发安全圈对漏洞定义的争议。专家建议用户提高安全意识，避免点击可疑链接。安全研究员与厂商的认知差异导致此类争议频发，用户无需过度恐慌但需保持警惕。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

聊聊这次的支付宝漏洞，以及安全研究员与厂商的爱恨情仇-腾讯云开发者社区-腾讯云

聊聊这次的支付宝漏洞，以及安全研究员与厂商的爱恨情仇

聊聊这次的支付宝漏洞，以及安全研究员与厂商的爱恨情仇

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐