文章总结： 本文分析了支付宝苹果免密授权事件，认为这不是单纯的技术漏洞，而是多方面因素导致的诈骗问题。作者指出支付宝已提供风险提示，但用户往往忽略；苹果在审核和追溯机制上存在缺陷；根本解决方案是提高用户反诈意识，避免贪小便宜。 综合评分： 86 文章分类： 漏洞分析,安全意识,移动安全,数据安全,应用安全

支付宝苹果免密授权漏洞到底是真的吗？我想说几句

原创

棉花糖糖糖

棉花糖fans

2025年12月18日 14:43 四川

今天各个群疯传一个链接：

https://gitee.com/liyurchen/zfb

内容大致是控诉支付宝免密系统存在漏洞，内容超长，请有兴趣的师傅自行前往链接仔细阅读，本文仅表达本公众号的看法，哦对了为防止删库影响各位的吃瓜体验，特保存了一份到网盘：

https://pan.baidu.com/s/1Nb_aTSzS6idoPQ5ZWwpGYQ?pwd=8wky

本文接下来的内容仅代表个人看法，可能存在单方面误解或歧义，可以在评论区讨论并纠正，由于原贴内容大部分是针对的支付宝，故本文先谈个人对此事件中支付宝的看法。

首先，原贴提到为何支付宝免密支付如此简单。

其实免密支付并不简单，它需要一个支付宝官方认可的商家权限，申请这个商家权限各位可以自行前往尝试，所需资料和审核不算简单，并非随随便便就可以获取到一个可以向用户发起免密支付授权的权限，相关资料齐全、审核通过的商户基本上是有实体或者比较大的企业，不会随意盗刷用户余额，在原帖中，向支付宝发起免密授权请求的，是苹果官方。

给大家梳理一下这个逻辑，首先黑产哥通过不知什么渠道在苹果官方注册了一个企业实体销售及运营的第三方授权，然后调用苹果这个极其可信的企业权限前往支付宝发起授权申请，在支付宝的视角中，是苹果官方发起的授权请求，在此之前已经对苹果进行了审核，并非随随便便就可以让第三方完成免密支付的流程。

然后是授权页面的设计，根据原贴提供的图片：

我个人认为支付宝已经在显眼的地方说明了该操作的权限，即“支付宝将根据商家发出的扣款指令扣款，无需额外验证支付宝支付密码。”，这段话甚至就在“下一步”按钮的上方，但绝大部分人是连这段话也不会看的，包括贴主自己。

原贴中有相当一部分内容在强调支付宝没有做到应尽的提醒义务。

我个人认为在帖子描述的环境下，支付宝的提醒不是可以影响被诈骗的主要因素，甚至微乎其微。

个人认为在这种环境下，支付宝的风险提醒就好像安卓手机的“app存在风险，请勿安装”一样，各位装各种色情软件的时候绝大部分会“无视风险继续安装”的，在贴主描述的这类事件中，就算支付宝加强了提示，比如强制等待十秒阅读风险并手动勾选同意、弹出第三方危险提示（即原贴描述的“链接由第三方提取”风险），或增强跳转校验，比如要求跳转链接有官方白名单，再加上一个强制验证密码而非直接apple人脸，在如此繁琐的流程下，原贴依然大概率会选择“无视风险继续安装”，因为贴主的目的一开始就是贪小便宜，对第三方的危险程度是有心里预期的，所以这些提示对于目标明确的人来讲毫无用处。

当然我在这里不是赞同支付宝这个点上风险提示少，只是就事论事，在贴主提到的问题中，支付宝的利用成本确实要比微信低，这也是黑产哥选择支付宝作为利用目标的原因。

那这个问题到底算不算漏洞？

我认为这并不能单纯看作支付宝或苹果的漏洞，而是多方面的组合原因，单拎出任何一方都不能归责，首先淘宝存在低保证金甚至0保证金开店的情况，利用付费推流为黑产哥提供的低成本的流量渠道，并且为黑产哥提供了第一层可信源：这是淘宝商家；然后是支付宝，可被利用的门槛低（相对于微信），过于信任苹果支付来源，至于对用户的风险提醒我觉得不属于此类事件的关键因素。

最后是苹果，也是我觉得此类事件中除了受害者自身，决定因素最多的一方，苹果作为世界排名前列的公司，为了收取第三方手续费，强制支付渠道必须经过apple支付，但苹果本身的审核以及追溯担保机制有缺陷，一是为黑产哥提供了面向支付宝和受害者的可信源：苹果支付，黑产哥怎么通过苹果审核获取的苹果支付权限我们不得而知，二是在受害者快速做出反应，反馈被诈骗时无法追溯并拦截款项。

出于未知原因无法退款这一点真是太操蛋了……另外还有一个小细节

苹果的face id，点击即验证，速度之快，有时候我也会误支付。

还有一些想说的由于码字太久忘记要说什么了（我才二十几岁已经到了健忘的地步了我靠），其他更加细节的问题就请各位牛子评论区留言了，我最后做一个总结：

关于免密支付的问题其实大家上网搜一下就会有很多：

本质上我觉得是企业在尽量提供用户便利的同时，也给黑产哥留了可操作空间，但便捷化是趋势，科技的力量滚滚而来你挡不住哇，现在连AI手机自动下单都有了，就只需要你最终输入个密码了，甚至连贴中还需要自己点下一步的提示都没有了，AI自动点击了，所以我觉得前段时间豆包手机被提示风险环境也不太可能是商战原因，更有可能是自动化程度太高了，极大的提高了风险程度。

所以，减少或者说杜绝此类诈骗的根本策略还是提高反诈意识，切记不贪小便宜，大部分的诈骗都是以贪小便宜开始的，也不要“无视风险继续安装”。

对此您还有什么看法欢迎评论区补充。

#

查看原文：《支付宝苹果免密授权漏洞到底是真的吗？我想说几句》