[公开漏洞]支付宝声波支付可以被人记录声音恶意支付

支付宝声波支付可以被人记录声音恶意支付 相关厂商： 支付宝 漏洞作者：阆苑仙芭 提交时间：2014-03-31 12:03 公开时间：2014-06-26 12:04 漏洞类型：设计错误/逻辑缺陷 危害等级：中 自评Rank：9 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： 设计缺陷/边界绕过 逻辑错误 设计不当 客户端程序设计错误 手机应用 漏洞详情 披露状态：

2014-03-31：细节已通知厂商并且等待厂商处理中
2014-04-05：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-04-12：细节向核心白帽子及相关领域专家公开
2014-04-22：细节向普通白帽子公开
2014-05-12：细节向实习白帽子公开
2014-06-26：细节向公众公开

简要描述：

支付宝的声波支付可以被他人记录，通过录音就可以恶意消费。

详细说明：

支付宝的声波离线支付虽然方便，但也带来了一定的安全问题，比如可以记录他人声波进行恶意消费。

看到支付宝可以离线声波支付，果断尝试了一下，感觉速度很快非常便捷，但是有一点却吓坏我了，我是在友宝机子上测试的，当我的手机靠近机子打开我要支付之后竟然没有提示要支付多少钱，也没有提醒是否支付便直接从我的银行卡中把钱扣了。好吧 其实我知道支付宝的免密码支付是有限额的，但是这样消费的感觉还是让我不可接受。



如果说上面的问题是不能说是一个问题的话，下面这个问题简直是把我惊呆了，废话不多说，直接说过程



！！！！！！



我用自己的手机打开声波支付的我要支付，用另一个手机将piu piu 的声音录制下来，然后用录音到友宝的机子上买饮料，竟然出货了 。重新播放录音，再次购买，又成功了 。

漏洞证明：

视频密码：147258

其实被别人录制声音的可能性不是很大如果别人在机器上安装一个录音机的话，他便可以把你的声音录制下来随便买点什么的。

修复方案：

只需要在手机端再次验证一下即可，虽然体验上会差那么一点，还有离线支付的功能要实现的话估计要找其他方法了，但毕竟安全第一嘛。

版权声明：转载请注明来源 阆苑仙芭@乌云 漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-04-05 12:04

厂商回复：

最新状态：

2014-04-05：感谢提交此问题，当面付声波具有时效性，重放攻击无效，即只能使用一次。而受害者被录音时必然在支付行为，所以即使录音无效。基于以上原因，认为此问题非安全漏洞。