cae3c54867
- Unified nav bar with links to all research articles - Verification badge: Docker 37/37, Zenodo DOI, IACR 2026/526, Packet Storm - Mobile responsive hamburger menu - PoC payloads and evidence screenshots added - Draft articles and planning files included Co-Authored-By: Claude <noreply@anthropic.com>
7.2 KiB
我以中国公民身份,向网信办正式举报了支付宝
208个API拦截、22个行为监控、97%接口无保护 — 举报全文公开
为什么写这篇文章
2026年3月18日凌晨,我以中华人民共和国公民身份,依据《个人信息保护法》第七十条赋予的举报权利,向中央网络安全和信息化委员会办公室(网信办)APP个人信息治理工作组正式提交了一份举报。
举报对象:支付宝(com.eg.android.AlipayGphone) 举报主体:支付宝(中国)网络技术有限公司 / 蚂蚁科技集团股份有限公司
同时,举报副本已同步发送至12321网络不良与垃圾信息举报受理中心和网信办数据安全管理部门。
这不是一次冲动行为。这是持续一个月的逆向工程分析、负责任披露被拒、文章被删除、PoC被服务器端封堵之后,一个中国公民依法行使权利的选择。
举报的四项核心事实
事实一:208个API拦截 — 远超支付功能所需
支付宝内置DexAOP字节码拦截框架(1606个Java文件、976个代理类),系统性拦截208类设备API:
| 类别 | 数量 | 与支付功能的关系 |
|---|---|---|
| 蓝牙 | 17 | 无直接关系 |
| 电话/通信 | 17 | 无直接关系 |
| 通讯录 | 12 | 无直接关系 |
| 录音/麦克风 | 9 | 无直接关系 |
| 摄像头 | 5 | 仅扫码需要,预览帧拦截无必要 |
| 剪贴板 | 4 | 无直接关系 |
| 加密操作 | 3 | 监控其他组件的加密行为 |
| 其他 | 141 | 含WiFi/GPS/传感器/NFC等 |
| 合计 | 208 |
《个人信息保护法》第六条要求"最小必要"。208个API拦截是"最小必要"吗?
举报中引用的法规:《个保法》第六条、《APP违法违规收集使用个人信息行为认定方法》第四条、《网络数据安全管理条例》第21条。
事实二:22个行为监控 — 截屏、剪贴板、通话状态
支付宝在启动3秒后激活行为监控系统,记录以下行为并每10条批量上报服务器:
你截屏,它知道。你录屏,它知道。你接电话,它知道。你复制了什么,它知道。
- 截屏检测(编号6)
- 录屏检测(编号7)
- 通话状态(编号11)
- 剪贴板变化(编号13)
- 蓝牙连接(编号8-10)
- 屏幕亮灭(编号0-1)
- 还有Activity生命周期等共22个事件
这些监控行为是否在隐私政策中逐项告知了用户?《个保法》第十七条要求"真实、准确、完整地向个人告知处理的个人信息种类"。
更关键的是:代码中有一个远程开关(OrangeConfig, key:132),服务器可以随时激活全部22个监控。用户无法知情,更无法控制。
事实三:PatchProxy — 你手机上的支付宝可以被远程改代码
这可能是最值得监管关注的发现。
支付宝通过PatchProxy(ChangeQuickRedirect)机制,允许蚂蚁集团服务器在不经过应用商店审核、不发布新版本、不通知用户的情况下,远程替换已安装APP中的任意方法——包括权限检查、支付验证、签名校验。
这意味着什么?
你安装支付宝时同意的隐私政策和功能行为,可以在你不知道的情况下被远程修改。你以为你在用A版本,实际上服务器已经把它变成了B版本。
《个保法》第十四条第二款:"处理目的、处理方式等发生变更的,应当重新取得个人同意。"
PatchProxy显然违反了这一条。
事实四:97%内部接口无权限保护 — 含数字人民币钱包
扫描全部408个内部JSBridge接口,396个(97.1%)的权限检查方法返回null——也就是说,没有任何安全防护。
无保护的接口包括:
- 6个支付类接口(含数字人民币钱包DCEPWalletBridgeExtension)
- 5个认证类接口(登录、身份验证)
- 3个NFC接口(非接触式支付)
- 6个文件操作接口(上传/下载)
数字人民币是中国人民银行发行的法定数字货币。其钱包操作接口在支付宝APP内缺乏权限保护,这是一个严肃的金融安全问题。
举报全文
以下为提交给网信办的举报邮件全文(已脱敏身份证号):
[因篇幅原因,举报全文请访问:https://innora.ai/zfb/privacy-analysis.html]
举报邮件发送至以下三个渠道:
- 网信办APP治理专线:Appzhili@cac.gov.cn
- 12321举报中心:abuse@12321.cn
- 网信办数据安全:shujuju@cac.gov.cn
全球同步:25封监管更新邮件
在向中国网信办举报的同时,我们向全球22个监管机构发送了技术更新邮件,通报SecurityGuard SDK的最新逆向发现。
已有正式案件的机构(补充新证据)
| 机构 | 国家 | 案件号 | 更新内容 |
|---|---|---|---|
| PDPC | 新加坡 | #00629724 | 208 API + PatchProxy |
| CSSF | 卢森堡 | CSSFWB-2026-080 | GDPR Art.25 + Art.32 |
| HKMA | 香港 | CE20260313175412 | 支付接口无保护 |
| Apple | — | OE01052449093014 | 热更新政策违反 |
| FCA | 英国 | Whistleblowing | 金融安全风险 |
| OAIC | 澳大利亚 | Intake | 隐私影响 |
| CIRCL | 卢森堡 | #4782984 | 技术更新 |
欧盟隐私监管(GDPR攻击线)
EDPB、Irish DPC、意大利Garante、荷兰AP、德国BfDI — 5个欧盟数据保护机构收到了相同的GDPR违规分析,重点是PatchProxy违反了GDPR第25条(数据保护设计原则)。
金融监管 + CERT
MAS新加坡、OJK印尼、FMA新西兰、BNM马来西亚 + ANSSI法国、HKCERT、SingCERT、CERT-In — 8个机构收到了金融安全和技术分析更新。
这件事的时间线
| 日期 | 事件 |
|---|---|
| 2月16日 | 开始安全分析 |
| 2月25日 | 首次向蚂蚁集团报告漏洞 |
| 3月7日 | 第二次报告(17个漏洞详细报告) |
| 3月10日 | 蚂蚁集团回复:"正常功能" |
| 3月11日 | 公开披露。4小时后收到律师函 |
| 3月12日 | 6个CVE提交MITRE + 189封全球通报邮件 |
| 3月15日 | 微信4篇文章被全部删除 + 服务器端封堵PoC |
| 3月17日 | SecurityGuard逆向完成 + 3个新CVE + GitHub公开 |
| 3月18日 | 向网信办正式举报 + 25封监管更新邮件 |
为什么要公开举报内容
- 透明是最好的保护。公开举报内容意味着:如果举报被无故忽视或压制,公众可以知道。
- 技术真相不应该被删除。此前4篇微信文章已被蚂蚁集团律师团队删除,但代码分析的结论不会因为删除文章而改变。
- 作为中国公民,我有权举报。《个保法》第七十条明确赋予了这一权利。行使法律赋予的权利,不需要道歉。
你可以做什么
- 检查权限:进入手机设置 → 隐私 → 应用权限,检查支付宝已获取的权限,撤销非必要权限
- 关注进展:我们会持续跟踪网信办和各国监管机构的回应
- 传播真相:如果你认为10亿用户有权知道自己的手机在被怎样监控——请转发
完整技术报告:https://innora.ai/zfb/privacy-analysis.html 代码与工具:https://github.com/sgInnora/alipay-securityguard-analysis
本文永久地址:https://innora.ai/zfb/regulatory-complaint.html 如果本文被删除,请访问上述地址。