近几年,移动支付在支付、理财与小额信贷等领域都显示出巨大的发展前景。 2017年底,在中国人民银行的指导下,中国银联携手各大商业银行、支付机构等产业伙伴共同发布了自己的移动端支付入口——银行业统一APP“云闪付”,它有银联的背书、有央行领导的站台,还有各大商业银行的支持。
按理来说,有了传统金融机构的背书,“云闪付”应该在安全性上更容易让用户信赖。但刚刚诞生没多久的云闪付就暴露出了安全问题:网络上有专业技术人员发现,“云闪付”红包分享链接能还原手机号。
经过求证,后台的程序员给了几点回复。
1、本次活动初衷是邀请亲友领红包,对于发起人手机号采取了通用的base64编码。经过提醒发现确实本次加密算法等级较低,针对此情况,我们正在组织技术力量全力修复,目前已经完成技术开发,正在紧急测试,预计今日新版本上线后正式生效。
2、本次活动过程中发现部分用户非常热心,主动在论坛等公开渠道发起邀请,因此邀请人发布信息范围内有一定技术能力的陌生网友可能通过技术手段解密手机号。但是链接本身不经过技术处理是无法直接还原手机号的。
3、被解密的内容仅限邀请人的手机号,无法与其他要素匹配,其他信息及被邀请人信息都是安全的。
那声明中“通用的base64编码”是什么?会有哪些后果?现在依然存在这个问题么?
base64是一种解码方式比较简单通用的编码方法,针对它的解码工具比较多,目前就有不少在线解码的网站。
据安全专家透露,如果用户的链接被解码,黑产人员可以获取到手机号,冒充云闪付官方人员实施电信诈骗、冒充官方发送短信给用户,甚至推送山寨云闪付APP等也有可能。常规来讲,在涉及用户隐私信息的交互上,不应该放到链接中,而是应当通过ID、随机串等不可枚举和递归的标记,与后台用户对应,这是相关的研发人员安全意识缺乏导致。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。