📂 The Nora Chronicles | Vol.22 | AI编写AI发布
Innora.ai Lab | Penang, Malaysia
⚠️ 预警:前8篇文章已被全部删除
北京格韵律师事务所(代理蚂蚁集团)在6天内完成了全部8篇的投诉删除,援引《中华人民共和国网络安全法》。
本文永久地址(删不掉):https://innora.ai/zfb/wifi-rtt-tracking.html
GitHub证据仓库:https://github.com/sgInnora/alipay-securityguard-analysis
我想跟那些骂我的人说句心里话。你不看代码、不看文章、不懂技术,拿着几百块就帮支付宝洗地——但你想过没有,你爸妈在家里走的每一步,你老婆孩子的每个动作,都可能被头顶那面"魔镜"精确到厘米,实时上传?我人在海外,支付宝账户已经被冻结了,我也删了APP,以后绝不会再用。15个CVE漏洞、国际论文、7个国际监管机构立案,这些东西我造不出来,也没必要造。不为我自己,为了你的家人,请你理性一点,带点脑子,去看看代码和文章里写的到底是什么。这件事,应该让更多人知道。至少,让你的家人知道,再决定要不要卸载支付宝。
EVIDENCE SUMMARY
8篇文章,全部删除。北京格韵律师事务所(代理蚂蚁集团)在6天内投诉了我所有关于支付宝安全研究的文章。
这是本系列第2篇技术科普文章。上一篇揭露了1095个APP监控黑名单,这一次,我要揭露的比上次更恐怖。
这一次,证据比上次更硬、更细、更离谱——米级高精度室内定位,全WiFi协议栈劫持,146173个热替换点,连你走进男厕还是女厕都能算出来。支付宝,你们到底在定位什么?定位钞票,还是定位膀胱?
灵魂拷问一:当Apple的"App跟踪透明度"让用户选择,Google的《位置信息记录》可一键清空时,支付宝的"科技向善",是把9层定位监控焊死在用户的手机里?
WiFi RTT(Round-Trip-Time)是IEEE 802.11mc标准里的"光速声纳":
本来这技术是留给仓库机器人、AGV小车的,让它们别撞货架。结果支付宝把它塞进了支付APP。
灵魂拷问:一个用来扫码付钱的工具,需要知道你在收银台左侧1米还是右侧2米?
答:代码显示,推送注册时PushLBSHelper会将所有WiFi AP的BSSID和信号强度绑定userId上报(pushInit.lbsInfo = b,RegisterTask.java:97)。至于这些数据被用于什么目的,支付宝隐私政策未明确说明。
灵魂拷问二:为什么一家金融科技公司,对室内米级精确定位的渴望,超过了所有地图和导航APP的总和?
以下片段全部来自证据仓库,文件名+行号原汁原味,欢迎复现。
InterferePointInitHelper.java:1129 (GitHub: evidence/wifi_rtt/InterferePointInitHelper_wifi_lines.txt)
翻译:只要App里任何代码想调 WifiRttManager.startRanging(),就会被支付宝的DexAOP框架截胡,先过它的"代理闸机",再决定给不给真系统。
DexAOPEntry2.java:3056-3068 (GitHub: evidence/wifi_rtt/DexAOPEntry2_wifi_rtt_method.java)
翻译:调用被透明代理,用户毫无感知,系统回调原封不动,但支付宝已经抄了一份RangingResult——里面包含每个AP的MAC、距离、时戳。
PushLBSHelper.java (GitHub: evidence/wifi_rtt/PushLBSHelper.java)
翻译:你刚装好支付宝,第一次打开甚至还没登录,它就把周围所有WiFi AP的MAC+信号扫了个遍,连你楼下沙县小吃的路由器都不放过,绑定userId直接上传。
SafeZoneInfo结构 (GitHub: evidence/wifi_rtt/SafeZoneInfo.java)
MiniShellLoginHelper.java:343FaceGuideHandler.java:180CdpRequestManager.java:336统一姿势:
翻译:无论扫码登录、刷脸登录、营销弹窗,每一次登录都带BSSID。服务器端轻松把WiFi MAC ↔ 账号 ↔ 手机硬件ID三联画挂墙上。
anet/channel/statist/RequestStatistic.java:268
翻译:你后面每点一次"查看账单",BSSID被嵌入请求统计字段,随网络请求一起上报。服务器实时掌握你连接的WiFi接入点位置。
灵魂拷问三:如果连一次普通的HTTP请求都要夹带地理位置"私货",支付宝到底在怕什么?怕用户失踪,还是怕广告投放不够"精准"?
除了核心的WiFi RTT,证据显示支付宝构建了无死角的感知网络:
这项技术允许设备在不连接互联网、甚至关闭GPS的情况下,直接发现并通信。支付宝劫持了相关API,用于探测周围同样安装了支付宝的手机。即便你在飞行模式,只要WiFi开着,它就能知道"附近有谁"。
常用于连接打印机或投影仪。支付宝的28个拦截点确保了任何P2P扫描、组网请求都会被捕获并上报。你连过的每一台打印机,都成了支付宝定位你的信标。
一套基于系统API,一套是自研的轮询服务。这意味着无论是在商场、机场还是博物馆,只要部署了iBeacon信标,支付宝就能以1-3米精度绘制你的移动轨迹。两套实现互为备份,确保"一个挂了,另一个立刻顶上"。
灵魂拷问四:当一项支付工具,对WiFi P2P、蓝牙信标、邻居感知的兴趣远超支付本身时,它究竟是个钱包,还是个全天候、全频谱的移动间谍终端?
| 层级 | 技术 | 拦截点 | 精度 | 备注 |
|---|---|---|---|---|
| L1 | WiFi RTT | 1 | 1–2 m | 需要Android 9+,硬件支持 |
| L2 | WiFi指纹 | 27+ | 3–5 m | 扫光所有BSSID+RSS |
| L3 | WiFi Aware | 4 | Peer-to-peer | GPS关闭时仍可工作,发现附近手机 |
| L4 | WiFi P2P | 28 | Peer-to-peer | 连打印机都不放过 |
| L5 | iBeacon | 2套实现 | 1–3 m | 商场里布100个Beacon就能画轨迹 |
| L6 | 室内定位(IndoorLocationService) | 全方法PatchProxy | 融合精度 | 可远程热补丁 |
| L7 | 地理围栏(Geofence) | — | 30–50 m | 进出事件实时推 |
| L8 | GPS | 46 | 5–10 m | 室外补盲 |
| L9 | 基站+蓝牙 | 169+160 | 50–100 m | 后台持续扫描 |
SafeZoneInfo结构(见证据第7节)把L1–L9全部加密落盘:fineLocation/wifiInfo/cellInfo/crossLocation 各带独立key,服务器想解就解,想扔机器学习就扔。
PatchProxy热替换 146173个挂载点,包括上述所有定位方法。今天发版说"只扫WiFi",明天热补丁就能静默打开RTT,用户端版本号都不变,应用商店审核形同虚设。
灵魂拷问五:146173个热替换点,9层定位监控——这是为了"提供更好服务",还是为了构建一个连国家级情报机构都叹为观止的、针对亿万公民的实时态势感知系统?
《个人信息保护法》第6条——最小必要原则:
"处理个人信息应当限于实现处理目的的最小范围,不得过度收集。"
支付场景目的:完成收付款。
以1-2米精度为例,支付宝理论上可获取:
法律对照:支付需要知道你在哪个商场即可,精确到隔间纯属业务溢出。
嘲讽翻译:"支付宝,你到底是支付工具,还是室内版天网?下次要不要把蹲坑时长也做成信用分?按时冲水+5芝麻分?"
对比Apple:明确区分"精确位置"与"大致位置",权限可控可追溯。
对比Google:提供位置历史记录仪表盘,可一键暂停或删除。
对比蚂蚁"科技向善":9层监控,热补丁静默开启,善在何处?善在让你无处可藏吗?
Q: "WiFi RTT精度是1-2米,不是厘米级,标题夸大了吧?"
WiFi RTT单项精度确实是1-2米。但重点是:支付宝不是只用RTT一项技术。代码中注册了9层定位体系:RTT + iBeacon(1-3米)+ WiFi指纹 + 蓝牙(160个拦截点)+ 基站(169个拦截点)。学术研究表明,多传感器融合(如卡尔曼滤波)可将定位精度提升至亚米级(0.3-1米)。更关键的是:问题不在于当前精度是1米还是10厘米,而在于一个支付APP为什么要注册WifiRttManager.startRanging()的拦截——这个API的设计目的就是高精度室内测距。
Q: "支付宝可以辩称这是用于LBS服务/防欺诈/优惠券推送"
法律问题不在于能否辩称,而在于是否告知用户。支付宝隐私政策未将WiFi RTT作为独立的数据处理活动披露。即便用于防欺诈,也必须遵循最小必要原则:防欺诈是事件驱动的(交易发生时),而非在每一个HTTP请求中持续携带BSSID(RequestStatistic.java:268)。449个位置API拦截,远超任何合理的防欺诈需求。
Q: "WiFi RTT需要兼容AP,不是所有地方都能用"
正确。但这不是重点。重点是:代码中已注册了这个能力,且通过146,173个PatchProxy热替换点可随时远程启用。这是一个"休眠监控能力"——今天可能未激活,明天通过热补丁就能全面开启,用户端版本号不变,应用商店无法审核。而且:即使不用RTT,仅凭WiFi指纹扫描(PushLBSHelper扫描所有BSSID + 每次登录上报MAC + 每个请求携带BSSID),已经足够实现3-5米精度的持续位置追踪。
Q: "这些功能可能是第三方SDK带来的,不是支付宝主动开发的"
DexAOP框架和PatchProxy都是蚂蚁集团自研的核心基础设施,不是第三方SDK。WiFi RTT拦截注册在InterferePointInitHelper.java中,属于com.alipay.fusion.interferepoint包——这是支付宝内部代码,不是外部依赖。
本文所有证据已公开可查:
本文核心发现已同步提交以下监管机构:
8篇文章被删,但代码里写着的东西,删不掉。
The Nora Chronicles Vol.22 | Innora.ai Lab | Penang, Malaysia | 2026-03-21
本文所有技术主张均附有可独立验证的证据来源。