手机版 AlipayAPP 的声波支付可以不联网支付，且无需确认

阿里大数据确保您的资金安全 斜眼笑

@miyuki
我是不是该改个标题叫一台录音机带来的千万收益

其实第一位在支付宝看来不是安全，而是便捷，因为大都数普通人要的就是方便，安全它们根本不去想的，只要方便了，它们就觉得牛逼，而我们程序员看到是逻辑上不安全因素，在支付宝看来，就算如何如何，老子赔得起。

这个类似于扫码支付。一样是这个道理

@DreamCMS 这个比扫码支付更不靠谱，扫码好像要确认。且拾音设备比起录像设备更易搭建。
简易思路：拿个高保真的录音机放到那个售货机旁一整天，然后再拿回来放出来用支付宝。
简易思路二：拿个蓝牙话筒放那，接用手机 B ，然后 B 外放，手机 A 开支付宝接收。

@xgowex 到底会不会赔偿真难说，怎么证明是非正常支付？

测试成功，但是录制音频的识别不了，可能环境太嘈杂。

有没有考虑过声波支付可能类似安全密令，只要依赖算法，在短暂时间内才会有效。

动态密码啊，以时间戳生成的，只要时间正确就能验证成功，你手机不联网，收款机器一定是联网的。下次试试手机不联网然后调乱时间。这种密码是一次性而且有效期很短。感觉支付宝把大家弄得神经衰弱了

@shiny 不错！

网易将军令要联网了？一个道理。
人家在设计的时候这点怎么会考虑不到。

楼主应该把不联网的情况下，不同时间的声波支付都录一遍分析才靠谱啊。

收款方都是经过审核和备案企业 如果有盗刷情况很容易追查
并且盗刷的钱是存在支付宝系统内的 如果用户举报盗刷是可以冻结资金的

试都没试过就说不安全黑的也太不到位了，稍微了解下加密相关的基础知识就知道这种支付方式很安全的。

终于从 7 楼开始有正经回复了，都给个赞。

@ljbha007
不排除微小企业盗刷大量资金卷款跑路的吧？
这并不能解释权限问题。


@Syaoran
@shiny
@sandideas
我说的录制只是一个路人版简易方法。
时间验证又怎么样？
完全可以仿照售货机的方法做这样一个设备出来，然后偷偷装上去，当时就能盗刷。
声波距离长短并不是问题，做一个加大功率接收设备过来，然后雇人带着这个设备到各种地方跑着收款，就像伪基站一样。

@SNOOPY963
类似的生成动态码的设备，只要自己注意完全可以确认没有其他人看到，且你说的这个算是二步认证，需要输入登录密码再验证吧。
且我可以确认看动态密码的情况下没有人或者设备记录，我不能确认在用声波支付的时候有没有第三方设备在记录。

而且最重要的是如支付宝说的，如果盗刷了他百分百赔。那何乐而不为
我们获得的是便利，风险却在阿里那。。

@xgowex
应该是有备案的企业账户才能免密码支付。。
像我们普通的两个人用声波支付也要输入金额和确认密码。。

@uglyer
思路如下：
可以尝试自己写 APP 放手机上控制支付宝，然后开启支付宝，在收到声波请求后自动完成支付。

@xgowex 盗刷这个可行性不高吧。。你刷了一个亿，但是实际上是刷了一个亿的支付宝的数字。。你又不能提现。。必须得支付宝确认交易无误了才会让你提现吧

@xgowex 刷出来的钱在支付宝系统内的 接到用户举报 支付宝可以冻结资金的 取不出来

声波只是一个信道而已，和二维码没什么区别，该加密还是加密的，，，该一次密码也要一次密码

@wy315700
二维码需要确认吧。如果二维码不变，你敢把它打印出来贴墙上吗？ 这和声波是一个道理，它是外放出来，且无需确认。


@ljbha007 @sandideas 大概来说，金额越小人工校验概率越低。该支付方式付款结束后也不会显示金额或弹出通知，有几个人能做到实时查看账单，及时举报？时间拖的越久跑路提现可能越高。
这是金额和概率问题，并不能因为金额和概率而忽视可能出现的安全问题吧？

@uglyer 手中没有 2 台设备测试。请问测试成功是指在售货机之类企业设备还是个人设备上不用确认即可支付？

@xgowex 首先你的设备要有权限接入支付宝服务。你手机离线但售货机不是离线的。

你把风控吃了吗？这种小额支付根本就没法靠盗刷赚钱， 10 次内就得露陷，一次最多 200 ，连设备成本都捞不回来，赔钱买卖谁干啊(就算有 SB 干也是小概率事件，保险公司完全可以负责)

楼主真的是想的太简单了。。。。

设备是联网的

高科技风控你们懂个屁

在不了解的情况下要理智分析，直接开喷不好。
个人觉得是类似 TOTP 之类的算法，没有经过验证

@marenight 通过声波共享网络也不是不可能

身边被坑的，没一个得到赔款的

楼主先把自己支付宝的声波录好拿去测试一下吧，在室内超安静的环境下。

@xgowex 每次声波都不一样吧，，

@wy315700
@cjjia
@line
该问题回复在 15 楼


@marenight
@shiny

@marenight
@shiny
确实我没说清楚，设备当然联网的。

@xgowex 你可以去试试看，

@wy315700
@BXIA
只提出理论可能性，没有实验条件

不存在喷不喷的问题，只是最近安全问题频发，提出质疑而已

微信刷卡（扫码支付）也是一样的，不需要联网，有一次去超市用微信支付，完了发现没联网，赶紧把网络打开，才收到付款成功的消息。

1 ，声波采样需要精度很高的录音设备才能完整录下来，进行回放。
2 ，声波录下来没用，背后技术类似于平常大家看到的银行 token 一样，声波只是载体，背后逻辑不多说。
3 ，条码（扫码支付）原理一样，只是传输载体不一样。

时间不同，声波也不同。而且只能用一次，如果当时在旁偷声音，得考虑音量。

@xgowex

对于安全来说，最重要的不是说这个功能做的多安全，
而是在不影响使用的情况下尽可能的以最少的代价去做安全。
因为越安全，代价越大的。
现在声波支付刚起步，没有人有能力入侵，等能入侵的人多了，也许就会换一种支付方式了

个人见解

@xgowex 实验很简单，录音录下来，测试录下来的是否可以支付成功就可以了

@xgowex 我觉得仿照提款机比较容易

扫码支付也是一样的啊，有资质的商户才能做

我就想问问哪个学校？

@BXIA
这个测试有可以遇见的噪音问题
我想测试 15 楼

没人说这个支付每天限额 200 块？

我觉得还好吧，特别国外在推广，支付宝完全有不联网支付的需求。

其实它完全可以在支付前离线验证密码，这样兼顾安全和便捷

不知道楼主真的做过验证没有...二维码或者条码支付也是不需要确认的...
Google Authenticator 做二步验证也不需要验证那你觉得安全性如何?
的确你曾经说过你不能保证这个码被录下来了然后即时盗刷...但是我真的不知道要能录下这个音然后再回放的话设备要有多好成本有多高...特别是好像每分钟更新的这个时限很短吧...
另外这种全部都只能限定在小额支付...你要盗刷的话能盗多少...当这个成本与收益来看你会去做么?

@xgowex 盗刷大量资金根本不可能的。因为支付宝后台给商户结款不是实时的，而是有一个账期。也就意味着你被盗刷了，手机账单马上就可以查到，然后你发觉自己没有这笔交易，于是就联系支付宝。支付宝在结账期之前核实完了，该就退，该怎么样就怎样。
话说回来，既然保险公司敢和支付宝合作推出账户险，也就意味着支付宝的安全性还是可以的。

@myhu 很多学校都有吧，成都东软学院有

@oott123 没有

我也发现了银行的一个重大漏洞
在 ATM 机取钱的时候根本不需要银行卡联网就可以把钱取走。
说明我们可以在 ATM 机上装个读卡器和摄像头就可以盗卡了。
下面我们来看一下新闻：

@yangff
确实一个道理，然而“装个读卡器和摄像头”的犯罪成本太高，成功概率太低

连一点加密算法的常识都没有就不要讨论什么支付安全了好吧。你这种无脑喷真不知道从哪个阶段的基础开始跟你解释起。

@jinyang656 是的,就像信用卡 本身是不需要联网的

@yxz00 何时看到我喷了？
你这种无脑喷真不知道从哪冒出来的，一出来就开始 BB ，我也是 B 了

@xgowex 其实这样就还有个问题，联网这件事本身是否安全，有能力破解声波信道的，是不是也有能力破解联网加密

@xgowex 那我就有理有据的跟你喷一下。请问时间戳或者单号戳经过加密后的文本送你，你能用来进行下次支付吗？

@wy315700 为何要破解？ 直接用支付宝 APP 不行吗？

我发现每次网上社区有质疑支付宝的帖子，开始时的回帖大多是附和楼主、吐糟马云的，过了几个小时，这帖子如果火了，吐糟的更多了，那风向马上会变，一大波 ID 会从各方面来论证楼主是傻子，理论上各种穿凿附会，将楼主贬得一无是处！在知乎和天涯，我已经遇到过多次了，今天又是这感觉。。。。

声波支付的频段正常人是听不到的，啾啾啾的声音只是为了好听而已。

@pmpio 因为第一时间回帖的大多都没有好好思考，之后来的那些摆事实讲道理的看到了肯定会反对呀。

@wm5d8b 你这 ID 好有趣，五毛 5 天 8 镑？

@pmpio 五毛 5 天 8 镑是什么鬼。。这个是过渡时期创造的 ID ，从其他编码转换过来的。因为 V2EX 不能改 ID ，就保留了咯

为什么不能就事论事......有些人就喜欢喜欢吵架哗众取宠

虽然没研究过 但可以设想下这样做...
开通声波支付得到一个声波支付的 ID
支付时声波包含 ID+时间戳+随机交易号 给服务端，服务端处理完交易就关闭了，你再用这段声波去支付由于交易号已经使用所以不能再用也就是一次性的，付款后拍屁股走人完全没安全问题。
声波支付可以不包含任何账户信息和密码。

@xgowex 售卖机，关闭网络能成功

@xgowex 但是试了一下录制，设备识别不了的，而且那个声音应该有有效期吧。

@xgowex 扫码也不需要确认的，商店先扫描商品然后再扫描码，交易完成

先不说支付宝这个问题我怎么觉得 v2 的人越来越杂了，我现在基本都不怎么逛 v2 了老是黑和喷实在无语，自从回到国内后越来越不如以前了

这种事情靠猜或常识是没有用的，就跟你像乌云提交漏洞一样，不仅要发现，还要能测试成功，成果还不算完，还要能重放。
LZ 在不了解背后机制的前提下，凭主观推断有问题，然后又做了思想实验，就指责别人的做法不安全。
你有任何实证能够证明这种方法是不安全的？你有自己做过实验证明这种方法是不安全的?

这个可以成为一个面试题……
设计一个流程，支持上面说的这种手机离线甚至双方离线时还能安全或者尽量安全地支付，考量安全性和用户体验…

你的前在支付宝眼里不过是一个数字，从左手到右手，何来不安全哦。

@Coxxs 这个漏洞和之前录制汽车钥匙的是一样的，前提比较苛刻

一方面是录的时候要保证是没支付过的，
第二是录下来的只能使用一次

感觉声波支付就像是两次验证的简化版（无需原密码验证）验证码生成器。
0 、打开声波就像的生产的一个 Token （最终声音还是会转换成 Token ）
1 、 Token 肯定有有效期
2 、客户端算法和服务端算法一致，支持离线验证。
3 、大家都知道两步验证目前还挺靠谱的吧？至少比直接输密码还要靠谱多。

应该至少有一方是在线的。但理论上应该可以做到双方都支持离线

1 、利用蓝牙近场通讯
2 、钱包必须是唯一的，同时只能绑定一个设备，先充值后使用。

这种需求应该不多，那就像现金交易一样了，但还缺乏相关法律法规监管，也只适合小额。。。

那个自动售货机，不联网没法工作的……没人关心下这一环么

题主你想多了，刚好做过风控 PM ，来答一下你以及一并解答回答里冒出的一些问题。以下声波支付主要针对支付宝的。

1 、关于「羞羞羞」：声波支付的确是利用声波为信息载体，不过不是那个「羞羞羞」的声音，这个声音是装饰用的，真正的用于承载信息的声音，人耳基本听不见。
2 、关于网络：声波支付需要收款方具备联网环境，以对接云端分析声源新号（因为降噪需要计算），所以无需声源方（一般是付款人）具备联网环境。但是考虑到安全，一般这种情况需要收款方具备商户资质，也就是说题主这种情况可以（收款方是贩卖机），但是两个人拿手机声波收付款，则要求双方必须都具备联网环境（因为双方都是个人用户）。允许一方脱机纯粹是为了用户体验，比如贩卖机多布设于地铁，一般常人都知道，地铁上新号不是很好，因此不要求付款方的网络环境有利于交易达成。
3 、关于复制：不好意思，题主，你天真了。声波背后的数据信息是经过加密处理，保证唯一性、时效性的，你能复制声音并且盗用成功的情况下，真正的发声源必须就在边上，因为失效时间真的 非！常！短！所以，你要尝试复制的话你有时间可以玩玩，只不过告诉你结果就是这样。
4 、关于原理：支付宝的复杂些，简单点的请看： http://rest.sinaapp.com/?a=technology 。额外需要说的是声波的传输效率不高，所以支付宝的声波支付将关键信息压缩后形成很小的数据让声音作为载体传输。
5 、关于安全：声波支付有小额支付限制，还配套风控体系，以及资金被盗保护机制。这些信息一部分官方已经说明。