# 支付宝需要监控你的截屏、蓝牙和通话吗？一次完整的逆向工程分析

> 对支付宝APK (v10.8.30) 208个API拦截点、22个行为监控事件和97%无保护内部接口的代码级分析

**本文永久地址**: https://innora.ai/zfb/privacy-analysis.html
**如果本文被删除，请访问上述地址阅读完整版。**

---

## 引言

当你打开支付宝扫码付款时，你可能不会想到：在你看不到的地方，支付宝正在监控你的截屏行为、剪贴板内容、蓝牙连接、通话状态，甚至你每一次切换页面的精确时间戳。

这不是猜测。这是对支付宝APK文件进行完整逆向工程后，从代码中直接提取的事实。

本文所有结论均来自对APK文件的静态反编译分析（工具：jadx、radare2、Ghidra），任何人都可以独立验证。完整分析代码已开源在GitHub。

---

## 一、208个API拦截点

支付宝内部存在一个名为**DexAOP**的字节码级拦截框架（代码路径：`com.alipay.dexaop`，包含1606个Java文件）。它在编译阶段就将拦截代码注入到Android系统API的调用链中。

我们统计了全部拦截点——**976个代理类 + 180个回调桩 = 覆盖208个API类别**：

| 拦截类别 | API数量 | 隐私影响 |
|----------|---------|----------|
| **蓝牙** | 17 | BLE/GATT/A2DP/HID全覆盖 |
| **电话** | 17 | 通话状态、SIM卡、IMEI |
| **网络/HTTP** | 15 | 拦截所有网络请求 |
| **通讯录** | 12 | 完整通讯录访问 |
| **传感器** | 10 | 加速度计、陀螺仪、生物识别 |
| **录音** | 9 | 麦克风全链路拦截 |
| **存储/文件** | 8 | 文件系统读写 |
| **WiFi** | 5 | SSID、BSSID、WiFi扫描 |
| **摄像头** | 5 | Camera + Camera2全部API |
| **剪贴板** | 4 | 你复制的每一段文字 |
| **GPS定位** | 3 | 精确地理位置 |
| **NFC** | 6 | 非接触式支付+卡模拟 |
| **加密操作** | 3 | Cipher/Signature/MAC |
| **其他** | 92 | WebView、存储等 |
| **合计** | **208** | |

### 超出支付安全范畴的拦截

我们理解支付APP需要一些权限来保障交易安全。但以下拦截远远超出了"支付安全"的边界：

- **Camera2 PreviewCallback** — 拦截摄像头的每一帧预览画面。扫码只需要识别结果，为什么要拦截预览帧？
- **RingtoneManager** — 支付APP为什么关心你的铃声设置？
- **所有加密操作** — 拦截Java层的`Cipher`（加密）、`Signature`（签名）和`MAC`（消息认证），意味着APP内任何组件的加密行为都在监控之下
- **14个录音拦截点** — 覆盖麦克风访问的每一个环节，精确记录"录音开始"和"录音结束"时间戳

---

## 二、22个行为监控事件

除了208个API拦截，代码中还有一个独立的**行为监控系统**（代码路径：`com.taobao.wireless.security.adapter.datacollection`），通过BroadcastReceiver注册了22个监控事件。

**工作机制**：APP启动后3秒延迟激活。每个事件被记录为`(事件编号, 时间戳)`格式，每积攒10条批量上报服务器（事件ID `100184`）。

| 编号 | 监控什么 | 你可能想知道 |
|------|---------|------------|
| 0-1 | 屏幕亮/灭 | 知道你什么时候看手机 |
| 2-3 | APP前/后台 | 知道你什么时候离开支付宝 |
| 4 | 飞行模式 | 检测你是否断网 |
| 5 | 系统时间修改 | 检测你是否改时间 |
| **6** | **截屏** | **知道你截了支付页面的屏** |
| **7** | **录屏** | **知道你是否在录屏** |
| 8-10 | 蓝牙开关/连接/断开 | 追踪你的蓝牙外设 |
| **11** | **通话状态** | **知道你什么时候接/打电话** |
| 12 | 耳机插拔 | 知道你是否戴耳机 |
| **13** | **剪贴板变化** | **你复制的内容被记录** |
| 14 | 网络切换 | WiFi/移动网络变化 |
| 15-21 | Activity生命周期×7 | 精确到每个页面的创建/暂停/销毁 |

### 远程开关

代码中有一个**OrangeConfig远程配置开关**（namespace: `securityguard_orange_namespace`，key: `132`），默认值`"0"`。服务器可以随时将其设为`"1"`来激活全部22个监控事件。

换句话说：**即使当前没开，服务器一个指令就能全部打开。**

### 截屏监控意味着什么？

当你截屏保存一个转账记录时——也许是为了留证据——支付宝会立即知道。当你打开录屏软件时，支付宝也会立即知道。

问一个直接的问题：**监控用户截屏和录屏，合理的业务场景是什么？** 如果答案是"防止敏感信息泄露"，那反过来想：这不正是在阻止用户保留自己的交易证据吗？

---

## 三、29项设备超级指纹

支付宝代码中的`DeviceInfoCapturerFull`类包含一个29项`switch`语句（已通过3-LLM交叉验证确认），收集：

**硬件标识**: IMEI、OAID、WiFi MAC地址、MediaDrm ID
**SIM卡**: 运营商信息、SIM序列号
**系统**: 音频路由、屏幕分辨率、时区、语言
**应用**: 已安装应用签名信息、已授予权限列表

这29项数据被组合生成一个叫**UMID**的跨安装持久化设备ID——你卸载支付宝重装，它依然能识别出这是同一部手机。该ID存储在系统KeyStore中，不会被常规清理删除。

**定期上报**：这些指纹数据不是一次性收集，而是定期上传服务器。

### 《个人信息保护法》怎么说？

第26条规定：收集个人信息应当限于实现处理目的的**最小范围**。

29项设备信息 + 跨安装追踪 + 定期上传 = "最小必要"吗？

在欧盟GDPR框架下，IMEI和MAC地址被明确归类为"个人数据"。新加坡PDPC已对此立案调查（案号#00629724）。

---

## 四、97%的内部接口没有权限保护

这可能是最令人震惊的发现。

支付宝使用一个叫**Ariver**的框架管理JSBridge接口——小程序和H5页面通过这些接口调用原生功能（支付、获取位置、读通讯录等）。

我们扫描了**全部408个BridgeExtension类**的`permit()`方法：

```
有权限检查的接口:    12个 (2.9%)
没有权限检查的接口:  396个 (97.1%)
```

在Ariver框架代码中（`DefaultAccessController.java:132`），`permit()`返回`null`意味着**直接跳过所有权限检查**。

没有权限保护的高危接口包括：

- **6个支付类** — TradePayBridgeExtension、DCEPWalletBridgeExtension（数字人民币钱包）
- **5个认证类** — LoginExtension、VerifyIdentityBridgeExtension
- **3个NFC类** — NFCBridgeExtension、NfcPayExtension
- **6个文件类** — FileBridgeExtension、UploadFileBridgeExtension
- **6个硬件类** — ScanBridgeExtension（摄像头）、ClipboardBridgeExtension（剪贴板）、MakePhoneCallBridgeExtension（拨打电话）

396个无保护接口意味着：**一旦攻击者找到入口，几乎可以调用支付宝的任何功能——包括支付、定位和通讯录。** 而入口确实存在（详见我们提交的9个CVE漏洞）。

---

## 五、服务器可以远程修改你手机上的代码

在每一个安全关键方法中，我们都发现了一个`ChangeQuickRedirect`字段。这是一个叫**PatchProxy**的热修复框架——它允许服务器在**不经过应用商店审核、不需要用户同意**的情况下，远程修改支付宝在你手机上的运行行为。

被PatchProxy覆盖的方法包括：
- TLS证书验证（可远程关闭HTTPS安全检查）
- 权限检查（可远程关闭接口保护）
- 签名验证（可远程关闭请求签名校验）
- 支付校验（可远程修改支付流程）

通俗理解：**你手机上支付宝的代码不是固定的——蚂蚁集团的服务器随时可以改。**

热修复是行业常见做法。但关键区别在于：支付宝的热修复**覆盖了安全验证方法**（而非仅修复bug），用户**不会收到任何通知**，修改可以在**毫秒级**生效。

---

## 六、"说了什么就推荐什么"——技术解释

很多用户反映：和朋友聊天提到某个商品，打开支付宝就看到了推荐。

### 我们的结论：有能力，但没有发现后台偷录证据

代码中确实存在完整的录音基础设施：25+个录音相关Java文件、4种编码器（WAV/AAC/PCM/MP3）、14个麦克风API拦截点。但我们**没有找到后台静默录音的触发机制**——没有隐藏的后台Service，没有独立的音频上传通道。

更合理的技术解释是：

1. **同一WiFi → 家庭画像**：你和家人连同一个路由器，路由器MAC地址被共享，家人搜了什么你也会看到推荐
2. **跨APP设备指纹**：UMID/OAID在多个阿里系APP间共享，淘宝的搜索影响支付宝的推荐
3. **确认偏差**：你只记住了"准"的那几次，忘记了不准的几百次

---

## 七、行业对比

| 能力 | 支付宝 | 行业一般做法 |
|------|--------|-------------|
| API拦截 | 208个类别（DexAOP） | 30-50个（支付相关） |
| 行为监控 | 22个事件（含截屏/录屏/剪贴板） | 5-8个（登录态/网络） |
| 设备指纹 | 29项（跨安装追踪） | 10-15项 |
| 内部接口保护 | 97%无权限检查 | 安全框架通常默认拒绝 |
| 远程代码修改 | 覆盖安全验证方法 | 热修复通常不覆盖安全方法 |

---

## 八、如何自己验证

```bash
# 1. 下载APK (APKPure, 版本10.8.30.8000)
# 2. 反编译
jadx -d output --show-bad-code Alipay.apk

# 3. 统计DexAOP拦截点
grep -rn "proxy" output/sources/com/alipay/dexaop/ | wc -l

# 4. 搜索行为监控
grep -rn "SCREEN_SHOT\|SCREEN_RECORD\|PrimaryClipChanged\|PHONE_STATE" output/sources/

# 5. 统计permit()返回null
grep -A3 "public Permission permit()" output/sources/ | grep "return null" | wc -l

# 6. 查看远程开关
grep -rn "securityguard_orange_namespace" output/sources/
```

完整分析工具和结果：https://github.com/sgInnora/alipay-securityguard-analysis

---

## 九、厂商回应与后续

- **2026-03-07**: 我们向蚂蚁集团报告了17个安全漏洞
- **2026-03-10**: 蚂蚁集团回复：**"正常功能"**
- **2026-03-11**: 我们公开披露研究成果。4小时后，蚂蚁集团的律师事务所（北京格韵律师事务所）发出删除投诉
- **2026-03-15**: 微信公众号4篇相关文章**全部被删除**，无任何事前通知，依据"《网络安全法》"
- **2026-03-15**: 服务器端开始拦截我们的PoC验证请求（API返回空白页）
- **2026-03-17**: 9个漏洞已提交国际CVE数据库，38个国家和地区的机构已回应

**厂商的应对模式**：口头否认 → 律师函 → 删除文章 → 服务器端封堵PoC → 平台全面审查

9个安全漏洞已提交国际CVE数据库（编号待分配）。研究成果已被Packet Storm Security收录发布（Advisory #217089），香港金管局、卢森堡CSSF、新加坡PDPC、英国FCA等机构已确认收到并启动处理程序。

---

## 我们的问题

1. **必要性**：支付宝拦截208个系统API、监控22种行为、收集29项设备指纹——这些都符合"最小必要"原则吗？
2. **知情权**：用户是否被明确告知这些数据收集行为？隐私政策中是否逐项列明了截屏监控、剪贴板监控、通话状态监控？
3. **97%**：97%的内部接口没有权限保护——这符合安全开发最佳实践吗？
4. **远程控制**：服务器可以远程修改安全验证逻辑——用户是否应该有知情权？
5. **全生态**：这个安全SDK被阿里系多款APP共享（淘宝、闲鱼、饿了么等）——10亿+用户是否意识到这一点？

---

**作者**: Jiqiang Feng / Innora AI Security Research
**联系**: feng@innora.ai
**完整报告**: https://innora.ai/zfb/
**代码与工具**: https://github.com/sgInnora/alipay-securityguard-analysis
**Packet Storm Advisory**: #217089

*本文基于v10.8.30.8000版本静态分析。厂商可能已通过服务器端热修复修改了部分行为，但客户端代码中的架构和能力仍然存在。*

**本文永久地址**: https://innora.ai/zfb/privacy-analysis.html
**如果本文在任何平台被删除，请访问上述地址。这也是为什么我们需要一个不受单一平台审查的互联网。**