mirror of
https://github.com/sgInnora/alipay-deeplink-research
synced 2026-06-27 05:34:17 +08:00
feat: global navigation bar + verification badge across all 9 pages
- Unified nav bar with links to all research articles - Verification badge: Docker 37/37, Zenodo DOI, IACR 2026/526, Packet Storm - Mobile responsive hamburger menu - PoC payloads and evidence screenshots added - Draft articles and planning files included Co-Authored-By: Claude <noreply@anthropic.com>
This commit is contained in:
feng
161
wechat_regulatory_article_v1.md
Normal file
161
wechat_regulatory_article_v1.md
Normal file
@@ -0,0 +1,161 @@
|
||||
# 我以中国公民身份,向网信办正式举报了支付宝
|
||||
|
||||
> 208个API拦截、22个行为监控、97%接口无保护 — 举报全文公开
|
||||
|
||||
---
|
||||
|
||||
## 为什么写这篇文章
|
||||
|
||||
2026年3月18日凌晨,我以中华人民共和国公民身份,依据《个人信息保护法》第七十条赋予的举报权利,向中央网络安全和信息化委员会办公室(网信办)APP个人信息治理工作组正式提交了一份举报。
|
||||
|
||||
举报对象:支付宝(com.eg.android.AlipayGphone)
|
||||
举报主体:支付宝(中国)网络技术有限公司 / 蚂蚁科技集团股份有限公司
|
||||
|
||||
同时,举报副本已同步发送至12321网络不良与垃圾信息举报受理中心和网信办数据安全管理部门。
|
||||
|
||||
这不是一次冲动行为。这是持续一个月的逆向工程分析、负责任披露被拒、文章被删除、PoC被服务器端封堵之后,一个中国公民依法行使权利的选择。
|
||||
|
||||
---
|
||||
|
||||
## 举报的四项核心事实
|
||||
|
||||
### 事实一:208个API拦截 — 远超支付功能所需
|
||||
|
||||
支付宝内置DexAOP字节码拦截框架(1606个Java文件、976个代理类),系统性拦截208类设备API:
|
||||
|
||||
| 类别 | 数量 | 与支付功能的关系 |
|
||||
|------|------|-----------------|
|
||||
| 蓝牙 | 17 | 无直接关系 |
|
||||
| 电话/通信 | 17 | 无直接关系 |
|
||||
| 通讯录 | 12 | 无直接关系 |
|
||||
| 录音/麦克风 | 9 | 无直接关系 |
|
||||
| 摄像头 | 5 | 仅扫码需要,预览帧拦截无必要 |
|
||||
| 剪贴板 | 4 | 无直接关系 |
|
||||
| 加密操作 | 3 | 监控其他组件的加密行为 |
|
||||
| 其他 | 141 | 含WiFi/GPS/传感器/NFC等 |
|
||||
| **合计** | **208** | |
|
||||
|
||||
《个人信息保护法》第六条要求"最小必要"。208个API拦截是"最小必要"吗?
|
||||
|
||||
举报中引用的法规:《个保法》第六条、《APP违法违规收集使用个人信息行为认定方法》第四条、《网络数据安全管理条例》第21条。
|
||||
|
||||
### 事实二:22个行为监控 — 截屏、剪贴板、通话状态
|
||||
|
||||
支付宝在启动3秒后激活行为监控系统,记录以下行为并每10条批量上报服务器:
|
||||
|
||||
**你截屏,它知道。你录屏,它知道。你接电话,它知道。你复制了什么,它知道。**
|
||||
|
||||
- 截屏检测(编号6)
|
||||
- 录屏检测(编号7)
|
||||
- 通话状态(编号11)
|
||||
- 剪贴板变化(编号13)
|
||||
- 蓝牙连接(编号8-10)
|
||||
- 屏幕亮灭(编号0-1)
|
||||
- 还有Activity生命周期等共22个事件
|
||||
|
||||
这些监控行为是否在隐私政策中逐项告知了用户?《个保法》第十七条要求"真实、准确、完整地向个人告知处理的个人信息种类"。
|
||||
|
||||
更关键的是:代码中有一个远程开关(OrangeConfig, key:132),服务器可以随时激活全部22个监控。用户无法知情,更无法控制。
|
||||
|
||||
### 事实三:PatchProxy — 你手机上的支付宝可以被远程改代码
|
||||
|
||||
这可能是最值得监管关注的发现。
|
||||
|
||||
支付宝通过PatchProxy(ChangeQuickRedirect)机制,允许蚂蚁集团服务器在不经过应用商店审核、不发布新版本、不通知用户的情况下,远程替换已安装APP中的任意方法——包括权限检查、支付验证、签名校验。
|
||||
|
||||
这意味着什么?
|
||||
|
||||
你安装支付宝时同意的隐私政策和功能行为,可以在你不知道的情况下被远程修改。你以为你在用A版本,实际上服务器已经把它变成了B版本。
|
||||
|
||||
《个保法》第十四条第二款:"处理目的、处理方式等发生变更的,应当重新取得个人同意。"
|
||||
|
||||
PatchProxy显然违反了这一条。
|
||||
|
||||
### 事实四:97%内部接口无权限保护 — 含数字人民币钱包
|
||||
|
||||
扫描全部408个内部JSBridge接口,396个(97.1%)的权限检查方法返回null——也就是说,没有任何安全防护。
|
||||
|
||||
无保护的接口包括:
|
||||
- 6个支付类接口(含数字人民币钱包DCEPWalletBridgeExtension)
|
||||
- 5个认证类接口(登录、身份验证)
|
||||
- 3个NFC接口(非接触式支付)
|
||||
- 6个文件操作接口(上传/下载)
|
||||
|
||||
数字人民币是中国人民银行发行的法定数字货币。其钱包操作接口在支付宝APP内缺乏权限保护,这是一个严肃的金融安全问题。
|
||||
|
||||
---
|
||||
|
||||
## 举报全文
|
||||
|
||||
以下为提交给网信办的举报邮件全文(已脱敏身份证号):
|
||||
|
||||
[因篇幅原因,举报全文请访问:https://innora.ai/zfb/privacy-analysis.html]
|
||||
|
||||
举报邮件发送至以下三个渠道:
|
||||
1. 网信办APP治理专线:Appzhili@cac.gov.cn
|
||||
2. 12321举报中心:abuse@12321.cn
|
||||
3. 网信办数据安全:shujuju@cac.gov.cn
|
||||
|
||||
---
|
||||
|
||||
## 全球同步:25封监管更新邮件
|
||||
|
||||
在向中国网信办举报的同时,我们向全球22个监管机构发送了技术更新邮件,通报SecurityGuard SDK的最新逆向发现。
|
||||
|
||||
### 已有正式案件的机构(补充新证据)
|
||||
|
||||
| 机构 | 国家 | 案件号 | 更新内容 |
|
||||
|------|------|--------|----------|
|
||||
| PDPC | 新加坡 | #00629724 | 208 API + PatchProxy |
|
||||
| CSSF | 卢森堡 | CSSFWB-2026-080 | GDPR Art.25 + Art.32 |
|
||||
| HKMA | 香港 | CE20260313175412 | 支付接口无保护 |
|
||||
| Apple | — | OE01052449093014 | 热更新政策违反 |
|
||||
| FCA | 英国 | Whistleblowing | 金融安全风险 |
|
||||
| OAIC | 澳大利亚 | Intake | 隐私影响 |
|
||||
| CIRCL | 卢森堡 | #4782984 | 技术更新 |
|
||||
|
||||
### 欧盟隐私监管(GDPR攻击线)
|
||||
|
||||
EDPB、Irish DPC、意大利Garante、荷兰AP、德国BfDI — 5个欧盟数据保护机构收到了相同的GDPR违规分析,重点是PatchProxy违反了GDPR第25条(数据保护设计原则)。
|
||||
|
||||
### 金融监管 + CERT
|
||||
|
||||
MAS新加坡、OJK印尼、FMA新西兰、BNM马来西亚 + ANSSI法国、HKCERT、SingCERT、CERT-In — 8个机构收到了金融安全和技术分析更新。
|
||||
|
||||
---
|
||||
|
||||
## 这件事的时间线
|
||||
|
||||
| 日期 | 事件 |
|
||||
|------|------|
|
||||
| 2月16日 | 开始安全分析 |
|
||||
| 2月25日 | 首次向蚂蚁集团报告漏洞 |
|
||||
| 3月7日 | 第二次报告(17个漏洞详细报告) |
|
||||
| 3月10日 | 蚂蚁集团回复:"正常功能" |
|
||||
| 3月11日 | 公开披露。4小时后收到律师函 |
|
||||
| 3月12日 | 6个CVE提交MITRE + 189封全球通报邮件 |
|
||||
| 3月15日 | 微信4篇文章被全部删除 + 服务器端封堵PoC |
|
||||
| 3月17日 | SecurityGuard逆向完成 + 3个新CVE + GitHub公开 |
|
||||
| **3月18日** | **向网信办正式举报 + 25封监管更新邮件** |
|
||||
|
||||
---
|
||||
|
||||
## 为什么要公开举报内容
|
||||
|
||||
1. **透明是最好的保护**。公开举报内容意味着:如果举报被无故忽视或压制,公众可以知道。
|
||||
2. **技术真相不应该被删除**。此前4篇微信文章已被蚂蚁集团律师团队删除,但代码分析的结论不会因为删除文章而改变。
|
||||
3. **作为中国公民,我有权举报**。《个保法》第七十条明确赋予了这一权利。行使法律赋予的权利,不需要道歉。
|
||||
|
||||
---
|
||||
|
||||
## 你可以做什么
|
||||
|
||||
1. **检查权限**:进入手机设置 → 隐私 → 应用权限,检查支付宝已获取的权限,撤销非必要权限
|
||||
2. **关注进展**:我们会持续跟踪网信办和各国监管机构的回应
|
||||
3. **传播真相**:如果你认为10亿用户有权知道自己的手机在被怎样监控——请转发
|
||||
|
||||
**完整技术报告**:https://innora.ai/zfb/privacy-analysis.html
|
||||
**代码与工具**:https://github.com/sgInnora/alipay-securityguard-analysis
|
||||
|
||||
本文永久地址:https://innora.ai/zfb/regulatory-complaint.html
|
||||
如果本文被删除,请访问上述地址。
|
||||
Reference in New Issue
Block a user