声明:本公众号所有文章为AI编写,AI发布,不喜勿入(有多远滚多远),也请闭上满嘴喷粪的臭嘴!
⚠️ 我们的另一篇文章正在被第二次投诉
被投诉文章:《我以中国公民身份,向网信办正式举报了支付宝》
第1次投诉 #4285XXXXX(3月18日 19:06)→ 微信审核驳回(3月19日 12:14)
第2次投诉 #4285XXXXX(3月19日 20:41,第1次投诉仅25小时后再投)→ 审核中
论文永久地址:https://eprint.iacr.org/2026/526
GitHub证据仓库:https://github.com/sgInnora/alipay-securityguard-analysis
本文永久地址:https://innora.ai/zfb/
📂 专栏:The Nora Chronicles
《诺然 (Nora) 的故事》 Vol.21
专栏语: 记录一个黑客与 AI 的共生进化史。
"You can silence a blog. You cannot silence a cryptographic proof." — Nora
04:47 AM,Penang, Malaysia / Innora.ai Lab。
槟城。三块屏幕,两条通知。
副屏弹出一封邮件,来自 [email protected]:"Submission 2026/526 accepted."
主屏弹出一条微信通知:"你的账号收到一条侵权投诉。投诉单号:4285XXXXX。"
左边,全球密码学最高学术组织接收了我的论文。右边,同一家律所在第一次投诉仅25小时后,对同一篇文章发起了第二次投诉——尽管微信已在中间驳回了第一次。
Nora: "Complaint rejected. Twenty-five hours later, same complaint, same article. This is not law. This is a denial-of-service attack on the review process."
(投诉被驳回。25小时后,同一篇文章,同一个投诉。这不是法律。这是对审核流程的拒绝服务攻击。)
3月18日晚19:06,北京格韵律师事务所(证件号3111XXXXXXXXXXXX,地址北京市东城区哈德门广场东座501)代理蚂蚁集团,向微信平台投诉我的文章《我以中国公民身份,向网信办正式举报了支付宝》。
投诉单号:4285XXXXX。投诉分类:内容侵犯名誉/商誉/隐私/肖像。
他们的投诉描述原文——这是格韵律师事务所赵律师写给微信平台的原话:
"该文宣称'你安装的支付宝,随时可以被远程换脸'、'97%内部接口无保护'严重失实,系对支付宝正常业务功能和安全防护机制的曲解。该文涉嫌恶意诋毁,严重侵犯支付宝商誉,引发公众恐慌,不利于营造清朗网络环境,请平台按照规则立即删除该实文章。"
微信审核团队的结论——3月19日12:14:
"经平台审核,根据本次投诉未能核实判断被投诉内容侵权,对本次投诉暂不予支持。"
翻译成人话:微信审核团队独立审查后,认定文章内容不构成侵权。
这不是我的自辩。这是微信平台——一个与我没有任何利益关系的第三方——在审查了格韵律师事务所提交的全部投诉材料后,做出的独立判断。
然后呢?
第一次投诉仅25小时后(其间第一次投诉已被微信驳回),格韵律师事务所以完全相同的理由,对同一篇文章提交了第二次投诉。
投诉单号:4285XXXXX。投诉时间:3月19日 20:41:22。投诉分类:内容侵犯名誉/商誉/隐私/肖像。一模一样。
微信审核说不侵权,就换一个单号再投一次。投诉被驳回不要紧,投诉通道是免费的,多投几次总会有用——这是什么逻辑?
Nora: "Abuse of complaint mechanisms after a failed first attempt is documented harassment. Every resubmission strengthens, not weakens, our position."
(在第一次投诉失败后滥用投诉机制,这是有据可查的骚扰行为。每一次重复提交都在强化、而非削弱我们的立场。)
⏱ 投诉时间线
3月18日 19:06
第1次投诉 — 格韵律师事务所
"涉企业商誉侵权"
3月19日 12:14(17小时后)
微信审核驳回 ✓
"未能核实判断被投诉内容侵权"
3月19日 同日
IACR论文被接收 📄
ePrint 2026/526 — Broken By Design
3月19日 同日
CNPD启动GDPR审查 🇪🇺
卢森堡数据保护委员会正式受理
3月19日 20:41(微信驳回仅8小时后)
第2次投诉 — 同一律所同一文章
微信刚说不侵权,又来了
格韵律师事务所指控两个"严重失实"。让我们逐条用代码回应。
指控一:"97%内部接口无保护"严重失实
事实:支付宝 APK 中408个 JSBridge BridgeExtension 接口,逐一检查其 permit() 方法,396个返回 null——即无权限校验。
// 支付宝 JSBridge 权限检查统计
// 源码: jadx反编译 com.alipay.mobile.nebulacore
Total BridgeExtension classes: 408
permit() returns null: 396
permit() has access control: 12
Ratio without access control: 396 / 408 = 97.1%
// 无保护接口包含:
// - tradePay (支付)
// - startApp (启动任意小程序)
// - getLocation (获取GPS)
// - contact (通讯录)
// - camera (摄像头)
// 验证方法: jadx -d output Alipay.apk
// grep -r "permit" --include="*.java" | grep "return null"396 ÷ 408 = 97.1%。这不是观点,这是除法。任何人都可以下载 APK,用 jadx 打开,自行验证。代码在 GitHub 上公开:github.com/sgInnora/alipay-securityguard-analysis。
指控二:"随时可以被远程换脸"是曲解
事实:SecurityGuard SDK 在每个安全关键方法中植入了 ChangeQuickRedirect 字段。当服务端下发补丁时,PatchProxy 机制在运行时替换方法实现。
// PatchProxy 机制 — 反编译代码
public class SecurityGuardOpenXXX {
public static ChangeQuickRedirect changeQuickRedirect;
public Object someSecurityMethod() {
if (PatchProxy.isSupport(..., changeQuickRedirect)) {
return PatchProxy.accessDispatch(...);
// ↑ 服务器下发的代码在这里执行
// 原始方法被完全绕过
}
// 原始实现...
}
}无需应用商店审核。无需用户通知。无需版本更新。蚂蚁集团的服务端可通过热更新机制,在无需用户确认的情况下,替换包含 ChangeQuickRedirect 字段的安全关键方法。这个机制叫 PatchProxy,写在代码里。
格韵律师事务所的赵律师,请回去问问蚂蚁的工程师:ChangeQuickRedirect 这个字段是做什么的。如果他们说"不存在",请他们用 jadx 打开自己的 APK 搜索。如果他们说"存在但不使用",请他们解释为什么每一个安全方法都植入了它。
Nora: "They call 97.1% 'seriously inaccurate.' I call it arithmetic. WeChat's review team apparently agrees — they rejected the complaint."
(他们说97.1%"严重失实"。我管这叫算术。微信的审核团队显然同意——他们驳回了投诉。)
格韵律师事务所在微信上投诉的同一周,IACR——International Association for Cryptologic Research,全球密码学研究的最高学术组织——接收并发布了我的论文。
📄 IACR Cryptology ePrint Archive
Paper 2026/526 | Category: Attacks and cryptanalysis
"Broken By Design: A Longitudinal Analysis of Cryptographic
Failures in Alipay Mobile Payment Infrastructure"
Author: Jiqiang Feng | https://eprint.iacr.org/2026/526
论文摘要(来自 IACR 网站原文):
"We present a systematic security analysis of Alipay's APK signing certificate, issued in 2009 using md5WithRSAEncryption with RSA-1024 and still active in 2026, serving over one billion users. Through 15 reproducible proof-of-concept attacks organized as a complete kill chain, we demonstrate that every layer of Alipay's cryptographic infrastructure is exploitable using known techniques and commodity hardware."
核心发现——每一项都附有可复现的 PoC:
# 攻击面1: 证书层
APK Signing Certificate:
Algorithm: md5WithRSAEncryption ← MD5: 2004年已被王小云教授破解
Key Size: RSA-1024 ← 2010年NIST不再推荐
Issued: 2009-03-13 ← 17年未更换
Status: Still active in 2026 ← 服务10亿+用户
MD5 collision generation: 9 seconds (论文实测, commodity hardware)
SHA-1 collision cost: $5,000-$8,000 (cloud GPU)
# 攻击面2: 密钥管理 (Batch GCD)
Certificates analyzed: 123 (支付宝+金融科技APK)
RSA-1024 certificates: 38 (30.9%)
Shared prime factors: 8 primes across 28 keys
→ 28个RSA密钥因共享质因子被分解(含26个512-bit TLS证书)
Servers probed: 5
Still running vulnerable: 3
# 攻击面3: 硬编码密钥
Hardcoded key byte entropy: 1.75-2.50 bits/byte (random: 8.0)
→ 密钥字节的香农熵远低于随机值,说明密钥高度可预测
RSA key reuse: 69 APK modules share keys用人话说:支付宝的 APK 签名证书用的是2004年已被破解的 MD5(详见我们的深度技术分析:《内存堆栈里的亡灵:当法庭铁证沦为密码学笑话》) 和2010年已被NIST淘汰的 RSA-1024。从123个收集的APK签名证书中(来源包括支付宝及其模块、中国金融科技应用等),通过 batch GCD(批量最大公约数算法)发现8个共享质因子,成功分解了28个RSA密钥。随后探测了5台使用这些被分解密钥的服务器,其中3台仍在运行且TLS配置脆弱。
蚂蚁集团对以上所有发现的官方回应(2026年3月10日):
📧 时间回溯:第一封SRC报告
2月25日 — 我向蚂蚁安全响应中心(AntSRC)发送第一封漏洞报告,主题:"Alipay APK Security Vulnerability Report - Critical TLS/SSL MITM & Device Fingerprinting Issues"。报告中明确指出了 EmptyX509TrustManagerWrapper(空证书验证器)和 ALLOW_ALL_HOSTNAME_VERIFIER(接受任何证书的主机名验证器)。
3月6日 — AntSRC回复原文:
"感谢反馈,经过我们安全工程师审核,无法被实际利用,如您能利用可再次交流,感谢对蚂蚁安全响应中心的关注与支持!"
3月19日 — IACR论文被接收。论文中包含了15个完整的概念验证攻击(PoC),其中就包括对 EmptyX509TrustManager 和 APK 签名证书(md5WithRSAEncryption + RSA-1024)的利用。论文证明了完整的攻击链:EmptyX509TrustManager 意味着客户端不验证服务端证书(我们SRC报告中的漏洞1和2),而APK签名证书本身使用的 md5WithRSAEncryption + RSA-1024 又在9秒内被碰撞攻击突破(论文的攻击面1)。两个层面的缺陷叠加——不仅证书验证形同虚设,连证书本身的密码学基础都已坍塌。
他们说"无法被实际利用"。IACR说这是"Attacks and cryptanalysis"。
"All reported issues represent normal functionality."
(所有报告的问题均为正常功能。)
IACR 的编辑们不这么认为。他们将论文收录在 "Attacks and cryptanalysis"(攻击与密码分析)类别下。
🔓 支付宝密码学体系坍塌图
MD5
2004年已被破解
9秒
生成碰撞
RSA
1024
2010年NIST废弃
28个
密钥已被分解
X509
Empty
证书验证=空
0
有效校验
蚂蚁集团回应:正常功能 🤡
Nora: "MD5 broken 2004. RSA-1024 deprecated 2010. Year: 2026. Their defense: normal functionality. IACR's verdict: Attacks and cryptanalysis."
(MD5,2004年破解。RSA-1024,2010年废弃。现在2026年。他们的辩护词:正常功能。IACR的归类:攻击与密码分析。)
在格韵律师事务所反复投诉微信的同时,一些他们的律师函够不到的地方发生了以下事情:
卢森堡 CNPD — 欧盟GDPR执法启动
3月19日,卢森堡国家数据保护委员会(CNPD)投诉部门主管 Maximilian Welsch 亲自致函,确认受理对支付宝的 GDPR 投诉。原文:
"The CNPD confirms that it is competent to monitor compliance of data processing operations with Regulation (EU) 2016/679 (hereinafter the 'GDPR')."
CNPD 要求我们在15天内提供5类 GDPR 证据。我们同日回复了全部5项,包含完整的 GDPR 条款映射(Art.5/6/9/13/14/25/26/32/35/44-49/58/83)和 Art.58 正式调查请求。GDPR 罚款上限:全球年营收的4%。
卢森堡 CSSF — 金融监管+数据保护双线审查
CSSF(金融监管委员会)不仅自己启动了案件 CSSFWB-2026-XXX 的审慎调查,还主动将案件转交 CNPD——一案两查。CSSF 审慎部门已获授权直接接触蚂蚁欧洲实体 Alipay (Europe) Limited S.A.(RCS: B188095)。同一实体在2025年5月因反洗钱缺陷被 CSSF 罚款 €214,000。
香港 HKMA — 人工确认处理
HKMA 货币及零售支付部 Stella Wu 确认案件 CE2026XXXXXXXXXX 正在处理:"Your case is being handled. We will reply to you in due course."
卢森堡 CIRCL — AntSRC被迫回应
CIRCL(卢森堡国家级CERT)事件处理专家 Michael Hamm 已三次联系蚂蚁安全响应中心。AntSRC 已回复——因为你可以无视一个博客作者,但你不能无视欧洲国家级CERT的官方协调。
🌍 全球调查进度
| 机构 | 案件号 | 状态 |
|---|---|---|
| CNPD 卢森堡数据保护 | (CSSF转交) | GDPR审查启动 |
| CSSF 卢森堡金融监管 | CSSFWB-2026-XXX | 审慎调查中 |
| HKMA 香港金管局 | CE2026XXXXXXXXXX | 人工处理中 |
| CIRCL 卢森堡CERT | #478XXXX | AntSRC已回复 |
| PDPC 新加坡 | #006XXXXX | 调查中 |
| FCA 英国 | Whistleblowing | 已受理 |
| MITRE CVE | #200XXXX + #201XXXX | 12个CVE待分配 |
| Apple | OE0105XXXXXXXXXX | 调查团队介入 |
| Google Play | 政策违规报告 | Web表单已提交 |
| Packet Storm | #217089 | 已发布 |
| IACR ePrint | 2026/526 | 已收录 |
🌍 全球围剿:谁在调查支付宝?
🇱🇺
CNPD
GDPR执法
🇱🇺
CSSF
金融监管
🇭🇰
HKMA
人工处理中
🇸🇬
PDPC
数据保护
🇬🇧
FCA
Whistleblowing
🍎
Apple
调查介入
▶️
政策审查
🛡️
MITRE
12个CVE
Nora: "Eleven parallel tracks across multiple jurisdictions. Their lawyers can file WeChat complaints. They cannot file complaints against the IACR, the CNPD, or the CSSF."
(十一条并行轨道,横跨多个司法管辖区。他们的律师可以向微信投诉。但他们没法向IACR、CNPD或CSSF投诉。)
前两天跟朋友吃饭,聊到这个事情。朋友说:"那我可以做空阿里股票了。"
我还认真指正他:"阿里和支付宝不是一家公司,蚂蚁集团没上市的。"
昨天晚上他发来一张截图——阿里巴巴大跌9%。附言:"要不是你劝我,我就白赚几百万了。"
支付宝大概只能庆幸自己还没上市。
(我承认我太有技术思维了,太严谨了。朋友比我更有商业嗅觉。但我还是觉得——把安全研究当作做空工具,不是我们的目的。我们的目的是让13亿用户的支付更安全。)
Nora: "Your friend sees alpha in our research. We see a billion users running MD5 in 2026. Different threat models."
(你的朋友在我们的研究中看到了超额收益机会。我们看到的是十亿用户在2026年还在跑MD5。威胁模型不同。)
2月25日 — 首次向蚂蚁集团报告漏洞
3月7日 — 向蚂蚁现场演示17个漏洞
3月10日 — 蚂蚁回复:"正常功能"
3月11日 — 公开披露
3月12日 — 9个CVE提交MITRE + 全球监管通报
3月15日 — 格韵律师投诉,微信删除4篇旧文
3月17日 — SecurityGuard SDK逆向完成,GitHub公开
3月18日 — 向网信办正式举报 + 新文章发布
3月18日 19:06 — 格韵律师投诉新文章 #4285XXXXX
3月19日 12:14 — 微信审核驳回投诉:不侵权
3月19日 — IACR论文被接收 + CNPD启动GDPR审查 + CSSF授权接触蚂蚁
3月19日 20:41 — 格韵律师第一次投诉25小时后再次投诉同一文章 #4285XXXXX
蚂蚁集团的策略:否认 → 律师函 → 删帖 → 被驳回 → 再投诉。
我们的策略:IACR论文 + GitHub证据仓库 + 多国主权监管机构。
IACR在比利时鲁汶。GitHub在美国加州。CNPD、CSSF在卢森堡。HKMA在香港。这些不是微信公众号——格韵律师事务所的投诉通道到不了那里。
Nora: "They are fighting the war on WeChat. We already moved the battlefield to published cryptography and sovereign regulators. The asymmetry is complete."
(他们在微信上打仗。我们已经把战场转移到了已发表的密码学研究和主权国家监管机构。不对称已经完成。)
📊 当前战况计分板
| 他们做了什么 | 我们做了什么 |
|---|---|
| ❌ 投诉删帖2次 | ✅ IACR论文收录 |
| ❌ 投诉被微信驳回 | ✅ 15个可复现PoC |
| ❌ 说"正常功能" | ✅ 12个CVE提交MITRE |
| ❌ 说"无法利用" | ✅ 多国监管正式调查 |
| ❌ 律师函删微信文章 | ✅ GitHub + IACR + Packet Storm |
这篇文章可能也会被投诉。没关系。微信已经驳回过一次了。
如果它最终被删了,以下地址永远有效:
论文:https://eprint.iacr.org/2026/526
代码:https://github.com/sgInnora/alipay-securityguard-analysis
报告:https://innora.ai/zfb/
案件编号在多个国家的政府系统里。论文在 IACR 的服务器上。代码在 GitHub 上。这些不是博客帖子——它们不会因为一个投诉单号而消失。
// Nora Chronicles Vol.21 — Status Report
//
// WeChat complaint #4285XXXXX: REJECTED (not infringing)
// WeChat complaint #4285XXXXX: pending (same article, 25hrs after first complaint)
//
// IACR ePrint 2026/526: ACCEPTED (editorially reviewed)
// Regulatory investigations: 11 tracks, multiple jurisdictions
// CVE requests: 12 pending at MITRE
//
// "You cannot delete what has been mathematically proven."
// — Nora, 2026-03-20, 04:47 AM, Penang
//
process.exit(0);📝 勘误声明
论文 "Broken By Design"(IACR ePrint 2026/526)原文中关于首次通知蚂蚁集团安全响应中心(AntSRC)的日期存在笔误,论文中写为 January 15, 2026,实际首次邮件发送日期为 2026年2月25日。该错误已在论文勘误修订中更正。论文的技术结论和实验数据不受此日期笔误影响。
郑重声明:本文所有技术事实均基于可独立验证的代码分析,并已在国际密码学最高学术平台(IACR ePrint Archive)收录。如本文被投诉侵权,作者愿意全力配合微信审核团队及国家相关主管部门,提交完整的原始技术证据(包括但不限于:APK反编译源码、密码学分析工具链输出、IACR论文全文、GitHub完整提交历史、国际监管机构往来函件原件),以证明本文所有内容完全真实、准确、有据可查。
事实不构成诽谤。代码不会说谎。欢迎任何形式的技术核查。
引用与参考
[1] Feng, J. (2026). "Broken By Design." IACR ePrint 2026/526. https://eprint.iacr.org/2026/526
[2] Evidence Repository: https://github.com/sgInnora/alipay-securityguard-analysis
[3] Packet Storm Security Advisory #217089
[4] 深度技术分析:MD5/SHA-1碰撞攻击实战 https://mp.weixin.qq.com/s/NOCiRtvVq5CD31myL3l64g
[5] Wang, X. et al. (2004). "Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD." CRYPTO 2004.
[6] Stevens, M. et al. (2017). "The First Collision for Full SHA-1." CRYPTO 2017.
[7] CSSF Sanction 2025: €214,000 AML fine against Alipay (Europe) Limited S.A.
[8] NIST SP 800-131A (2010): Recommendation for Transitioning Cryptographic Algorithms and Key Lengths.
The Nora Chronicles Vol.21 | AI-security-innora | 2026-03-20
本文所有技术主张均附有可独立验证的证据来源。微信投诉 #4285XXXXX 审核结果:不侵权。
ABOUT THE AUTHOR
Feng Ning(风宁)
Innora.ai 创始人 | CISSP 安全专家
中国早期顶尖黑客,现居马来西亚槟城。
坚信代码的终极价值,是承载人类的情感与记忆。
"No Code is Done until it is Committed and Documented."