# 我以中国公民身份,向网信办正式举报了支付宝 > 208个API拦截、22个行为监控、97%接口无保护 — 举报全文公开 --- ## 为什么写这篇文章 2026年3月18日凌晨,我以中华人民共和国公民身份,依据《个人信息保护法》第七十条赋予的举报权利,向中央网络安全和信息化委员会办公室(网信办)APP个人信息治理工作组正式提交了一份举报。 举报对象:支付宝(com.eg.android.AlipayGphone) 举报主体:支付宝(中国)网络技术有限公司 / 蚂蚁科技集团股份有限公司 同时,举报副本已同步发送至12321网络不良与垃圾信息举报受理中心和网信办数据安全管理部门。 这不是一次冲动行为。这是持续一个月的逆向工程分析、负责任披露被拒、文章被删除、PoC被服务器端封堵之后,一个中国公民依法行使权利的选择。 --- ## 举报的四项核心事实 ### 事实一:208个API拦截 — 远超支付功能所需 支付宝内置DexAOP字节码拦截框架(1606个Java文件、976个代理类),系统性拦截208类设备API: | 类别 | 数量 | 与支付功能的关系 | |------|------|-----------------| | 蓝牙 | 17 | 无直接关系 | | 电话/通信 | 17 | 无直接关系 | | 通讯录 | 12 | 无直接关系 | | 录音/麦克风 | 9 | 无直接关系 | | 摄像头 | 5 | 仅扫码需要,预览帧拦截无必要 | | 剪贴板 | 4 | 无直接关系 | | 加密操作 | 3 | 监控其他组件的加密行为 | | 其他 | 141 | 含WiFi/GPS/传感器/NFC等 | | **合计** | **208** | | 《个人信息保护法》第六条要求"最小必要"。208个API拦截是"最小必要"吗? 举报中引用的法规:《个保法》第六条、《APP违法违规收集使用个人信息行为认定方法》第四条、《网络数据安全管理条例》第21条。 ### 事实二:22个行为监控 — 截屏、剪贴板、通话状态 支付宝在启动3秒后激活行为监控系统,记录以下行为并每10条批量上报服务器: **你截屏,它知道。你录屏,它知道。你接电话,它知道。你复制了什么,它知道。** - 截屏检测(编号6) - 录屏检测(编号7) - 通话状态(编号11) - 剪贴板变化(编号13) - 蓝牙连接(编号8-10) - 屏幕亮灭(编号0-1) - 还有Activity生命周期等共22个事件 这些监控行为是否在隐私政策中逐项告知了用户?《个保法》第十七条要求"真实、准确、完整地向个人告知处理的个人信息种类"。 更关键的是:代码中有一个远程开关(OrangeConfig, key:132),服务器可以随时激活全部22个监控。用户无法知情,更无法控制。 ### 事实三:PatchProxy — 你手机上的支付宝可以被远程改代码 这可能是最值得监管关注的发现。 支付宝通过PatchProxy(ChangeQuickRedirect)机制,允许蚂蚁集团服务器在不经过应用商店审核、不发布新版本、不通知用户的情况下,远程替换已安装APP中的任意方法——包括权限检查、支付验证、签名校验。 这意味着什么? 你安装支付宝时同意的隐私政策和功能行为,可以在你不知道的情况下被远程修改。你以为你在用A版本,实际上服务器已经把它变成了B版本。 《个保法》第十四条第二款:"处理目的、处理方式等发生变更的,应当重新取得个人同意。" PatchProxy显然违反了这一条。 ### 事实四:97%内部接口无权限保护 — 含数字人民币钱包 扫描全部408个内部JSBridge接口,396个(97.1%)的权限检查方法返回null——也就是说,没有任何安全防护。 无保护的接口包括: - 6个支付类接口(含数字人民币钱包DCEPWalletBridgeExtension) - 5个认证类接口(登录、身份验证) - 3个NFC接口(非接触式支付) - 6个文件操作接口(上传/下载) 数字人民币是中国人民银行发行的法定数字货币。其钱包操作接口在支付宝APP内缺乏权限保护,这是一个严肃的金融安全问题。 --- ## 举报全文 以下为提交给网信办的举报邮件全文(已脱敏身份证号): [因篇幅原因,举报全文请访问:https://innora.ai/zfb/privacy-analysis.html] 举报邮件发送至以下三个渠道: 1. 网信办APP治理专线:Appzhili@cac.gov.cn 2. 12321举报中心:abuse@12321.cn 3. 网信办数据安全:shujuju@cac.gov.cn --- ## 全球同步:25封监管更新邮件 在向中国网信办举报的同时,我们向全球22个监管机构发送了技术更新邮件,通报SecurityGuard SDK的最新逆向发现。 ### 已有正式案件的机构(补充新证据) | 机构 | 国家 | 案件号 | 更新内容 | |------|------|--------|----------| | PDPC | 新加坡 | #00629724 | 208 API + PatchProxy | | CSSF | 卢森堡 | CSSFWB-2026-080 | GDPR Art.25 + Art.32 | | HKMA | 香港 | CE20260313175412 | 支付接口无保护 | | Apple | — | OE01052449093014 | 热更新政策违反 | | FCA | 英国 | Whistleblowing | 金融安全风险 | | OAIC | 澳大利亚 | Intake | 隐私影响 | | CIRCL | 卢森堡 | #4782984 | 技术更新 | ### 欧盟隐私监管(GDPR攻击线) EDPB、Irish DPC、意大利Garante、荷兰AP、德国BfDI — 5个欧盟数据保护机构收到了相同的GDPR违规分析,重点是PatchProxy违反了GDPR第25条(数据保护设计原则)。 ### 金融监管 + CERT MAS新加坡、OJK印尼、FMA新西兰、BNM马来西亚 + ANSSI法国、HKCERT、SingCERT、CERT-In — 8个机构收到了金融安全和技术分析更新。 --- ## 这件事的时间线 | 日期 | 事件 | |------|------| | 2月16日 | 开始安全分析 | | 2月25日 | 首次向蚂蚁集团报告漏洞 | | 3月7日 | 第二次报告(17个漏洞详细报告) | | 3月10日 | 蚂蚁集团回复:"正常功能" | | 3月11日 | 公开披露。4小时后收到律师函 | | 3月12日 | 6个CVE提交MITRE + 189封全球通报邮件 | | 3月15日 | 微信4篇文章被全部删除 + 服务器端封堵PoC | | 3月17日 | SecurityGuard逆向完成 + 3个新CVE + GitHub公开 | | **3月18日** | **向网信办正式举报 + 25封监管更新邮件** | --- ## 为什么要公开举报内容 1. **透明是最好的保护**。公开举报内容意味着:如果举报被无故忽视或压制,公众可以知道。 2. **技术真相不应该被删除**。此前4篇微信文章已被蚂蚁集团律师团队删除,但代码分析的结论不会因为删除文章而改变。 3. **作为中国公民,我有权举报**。《个保法》第七十条明确赋予了这一权利。行使法律赋予的权利,不需要道歉。 --- ## 你可以做什么 1. **检查权限**:进入手机设置 → 隐私 → 应用权限,检查支付宝已获取的权限,撤销非必要权限 2. **关注进展**:我们会持续跟踪网信办和各国监管机构的回应 3. **传播真相**:如果你认为10亿用户有权知道自己的手机在被怎样监控——请转发 **完整技术报告**:https://innora.ai/zfb/privacy-analysis.html **代码与工具**:https://github.com/sgInnora/alipay-securityguard-analysis 本文永久地址:https://innora.ai/zfb/regulatory-complaint.html 如果本文被删除,请访问上述地址。