文章总结： 作者通过逆向分析发现支付宝存在22项未告知的行为监控、208类超出必要的API拦截及远程代码修改机制，且97%内部接口无保护。依据个人信息保护法，作者向网信办正式举报并通报全球监管机构。建议用户撤销非必要权限以保护数据安全。 综合评分： 90 文章分类： 逆向分析,移动安全,数据安全,漏洞分析,安全大事件

我以中国公民身份，向网信办正式举报了支付宝

原创

风宁 风宁

AI-security-innora

2026年3月18日 07:48 新加坡

我以中国公民身份，依据《个人信息保护法》第七十条向网信办正式举报了支付宝

208个API拦截 · 22个行为监控 · 97%接口无保护 — 举报全文与全球监管进展

本文永久地址：https://innora.ai/zfb/regulatory-complaint.html 如果本文在任何平台被删除，请访问上述地址阅读完整版。

22个行为监控事件。208个API拦截。97%的内部接口没有权限保护。

这些不是猜测，是对支付宝APK进行完整逆向工程后，从代码中直接提取的数字。

2026年3月18日，我以中华人民共和国公民身份，依据《个人信息保护法》第七十条赋予的举报权利，向中央网信办APP个人信息治理工作组正式提交了举报。举报副本同步发送至12321举报中心和网信办数据安全部门。

同日，我们向全球22个监管机构发送了技术更新邮件，通报最新逆向发现。至此，已有38个国家和地区的监管机构收到并回应了本研究。

01 你截屏，它知道 — 22个行为监控

支付宝在启动3秒后激活一个行为监控系统，记录以下行为并每10条批量上报服务器：

| 编号 | 监控什么 | 意味着什么 | | — | — | — | | 6 | 截屏检测 | 你截了支付页面的屏，它立刻知道 | | 7 | 录屏检测 | 你打开了录屏软件，它立刻知道 | | 11 | 通话状态 | 你什么时候接了电话、打了电话 | | 13 | 剪贴板变化 | 你复制了什么，它都记录 | | 8-10 | 蓝牙连接/断开 | 你连了什么蓝牙设备 | | 0-1 | 屏幕亮/灭 | 你什么时候看手机 | | 15-21 | 页面生命周期 ×7 | 你在哪个页面停留了多久 |

这些行为均未在支付宝隐私政策中逐项告知。《个人信息保护法》第十七条要求”真实、准确、完整地向个人告知处理的个人信息种类”。

更值得警惕的是：代码中有一个远程开关。蚂蚁集团的服务器可以随时将其打开，激活全部22个监控。用户无法知情，更无法关闭。

02 208个API拦截 — 一个支付APP为什么要监控你的铃声？

支付宝内置DexAOP字节码拦截框架，通过976个代理类拦截了208类设备API。据行业安全研究估计，主流支付APP（微信支付、云闪付等）的拦截范围约30-50类。支付宝是行业参考水平的4-6倍。

208个API拦截类别（部分）

| 类别 | 数量 | 与支付的关系 | | — | — | — | | 蓝牙 | 17 | BLE/GATT/A2DP全覆盖，无直接关系 | | 电话/通信 | 17 | 通话状态、SIM卡、IMEI | | 通讯录 | 12 | 完整通讯录读取 | | 录音/摄像头/剪贴板 | 18 | 含摄像头预览帧拦截 | | 加密操作 | 3 | 监控所有Cipher/Signature/MAC | | WiFi/GPS/传感器/NFC等 | 141 | 含铃声管理器拦截 | | 合计 | 208 | |

《个人信息保护法》第六条要求”最小必要”。208个API拦截，是支付功能的”最小必要”吗？

03 你安装的支付宝，随时可以被远程”换脸”

支付宝内置了一个叫PatchProxy的机制。用最简单的话说：

蚂蚁集团的服务器可以远程修改你手机上支付宝的代码——不需要你同意，不需要应用商店审核，不需要发布新版本。你以为你在用A版本，实际上它可能已经被悄悄换成了B版本。

这不是理论。代码中每一个安全关键方法（权限检查、支付验证、签名校验）都有一个ChangeQuickRedirect字段——这就是PatchProxy的钩子，允许服务器远程替换这些方法。

《个人信息保护法》第十四条第二款：”处理目的、处理方式等发生变更的，应当重新取得个人同意。” 远程修改代码行为而不通知用户，直接违反此条。

04 97%内部接口无保护 — 含数字人民币钱包

扫描全部408个内部接口，396个（97.1%）没有权限保护。

无保护的接口包括：6个支付类（含数字人民币钱包接口）、5个认证类、3个NFC类、6个文件操作类。数字人民币是中国人民银行发行的法定数字货币，其钱包接口在支付宝内缺乏权限保护，属于支付宝APP自身的安全缺陷。

05 举报发送记录

以下举报邮件已于2026年3月18日发送：

中国境内举报

| 接收机构 | 邮箱 | 状态 | | — | — | — | | 网信办APP治理专线 | [email protected] | 已发送 | | 12321举报中心 | [email protected] | 已发送 | | 网信办数据安全 | [email protected] | 已发送 |

全球监管更新（同日发送，共20封）

| 机构 | 国家/地区 | 案件号 | | — | — | — | | PDPC | 新加坡 | #00629724（已立案调查） | | CSSF | 卢森堡 | CSSFWB-2026-080 | | HKMA | 香港 | CE20260313175412 | | Apple | — | OE01052449093014 | | FCA | 英国 | Whistleblowing | | EDPB + 5个欧盟DPA | 欧盟 | GDPR跨境投诉 | | MAS/OJK/FMA/BNM | 新/印尼/新西兰/马来西亚 | 金融监管更新 | | 4个CERT/CSIRT | 法/港/新/印度 | 技术通报 |

06 时间线

| | | | — | — | | 2月16日 | 开始安全分析 | | 2月25日 | 首次向蚂蚁集团报告 | | 3月7日 | 第二次报告（17个漏洞） | | 3月10日 | 蚂蚁集团回复：“正常功能” | | 3月11日 | 公开披露。4小时后收到律师函 | | 3月12日 | 9个CVE提交MITRE + 189封全球通报 | | 3月15日 | 微信4篇文章全部被删 + 服务器端封堵PoC | | 3月17日 | SecurityGuard逆向完成 + GitHub公开 | | 3月18日 | 向网信办正式举报 + 25封监管更新 |

为什么公开举报内容

透明是最好的保护。此前4篇微信文章已被蚂蚁集团律师团队全部删除。但代码分析的结论不会因为删除文章而改变。208是208，97%是97%，22是22。这些数字来自代码，不来自我的观点。

作为中国公民，我有权举报。《个人信息保护法》第七十条明确赋予了这一权利。依法行使法律赋予的权利，不需要道歉。

如何自行验证：所有发现均可通过公开工具独立验证。下载APK → jadx -d output Alipay.apk → 搜索 com.alipay.dexaop

完整代码：https://github.com/sgInnora/alipay-securityguard-analysis

关于作者

冯继强，中国公民，安全研究人员

联系：[email protected]

完整报告：https://innora.ai/zfb/

如果你在意自己的数据权利

进入 设置 → 隐私 → 应用权限，检查支付宝的权限，撤销你认为不必要的。

请将本文转发给关心数字安全的朋友。

关注公众号 AI-security-innora，获取后续进展。

基于支付宝v10.8.30.8000静态分析。9个CVE已提交国际漏洞数据库（编号待分配）。Packet Storm Advisory #217089。

本文永久地址：https://innora.ai/zfb/regulatory-complaint.html

如果本文在任何平台被删除，请访问上述地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI-security-innora 风宁 风宁《我以中国公民身份，向网信办正式举报了支付宝》