FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

这是一个存在于支付宝与苹果支付体系对接环节中的业务逻辑安全漏洞。攻击者可通过技术手段，劫持本应在特定设备（用户本人手机）上完成的免密支付授权流程，并将授权链接诱导至受害者设备上执行，从而在受害者不知情的情况下，将其支付宝账户与攻击者控制的苹果账户进行绑定，进而实施盗刷。

关于漏洞责任归属，存在不同视角：

支付宝方面可能主张：授权流程符合与苹果约定的技术规范，最终授权动作发生在苹果的生态内（需通过Face ID等验证），核心责任在于苹果对账户异常行为的风控。

然而，从技术实现与风险控制角度看，支付宝的防护缺失是漏洞得以利用的关键：

1. 授权令牌缺乏绑定与时效性：从"设置"App发起的授权请求所生成的令牌（或签名链接），未与发起设备进行强绑定（如设备指纹、安全会话），也未设置足够短的时效。导致该令牌可被截获并转移到任意设备上使用，这是授权被"劫持"的基础。

2. 关键风险提示缺失：当授权链接在非预期环境（如从短信、浏览器或其他App）被打开时，支付宝的授权页面未能以不可忽略的方式（如强制阅读、二次确认）向用户清晰提示正在进行的操作是"为某个陌生的Apple ID绑定免密支付"。这与在苹果官方"设置"流程中的用户认知上下文完全不同，但前端却提供了近乎一致的交互，构成了误导。

3. 风控环节存在缺口：对于从非常用环境发起的高敏感度授权请求，系统缺乏额外的验证步骤（如要求输入支付密码、触发短信验证码等）。

因此，苹果的生态提供了攻击面，但支付宝在自身环节中对授权令牌的管理、风险提示和次级验证的缺失，直接导致了漏洞可被利用。双方在接口安全设计、异常行为监控上的协同不足，共同构成了深层次问题。

此漏洞模式已持续较长时间，根源在于：

1. 业务便利性与安全性的失衡：为了追求极致的支付流畅体验，过度简化甚至移除了关键的安全确认步骤。

2. 跨界协作的安全盲区：在大型互联网平台与硬件生态厂商的复杂对接中，双方对接口的安全假设可能存在差异，导致风险在"结合部"滋生。

3. 漏洞定级的模糊性：此类业务逻辑漏洞往往因难以直接造成"一键攻击"效果，且涉及用户交互，容易被归类为"中低危"或"设计问题"，导致修复优先级低、推进缓慢。

该漏洞是一个经典的、因授权令牌可移植和关键风险提示缺失共同导致的业务逻辑安全问题。其主要责任在于支付宝在自身控制环节内未能实施充分的安全防护措施。有效的修复需要支付宝立即采取独立的加固方案（如强化提示与环境校验），并与苹果协同优化接口安全设计，而非以"业务逻辑"或"需对方配合"为由延迟处置，使攻击者得以持续利用这一"灰色地带"。

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）