喷一喷国产的Square-乐刷

最近偶然在腾讯看到手机刷卡器免费送,那就毫不犹豫的搞了一只回来,简单试用后,开喷。

刷卡器叫乐刷

先一句话总结:现阶段这刷卡器就是脱裤子放屁,多此一举。

再多说点:这刷卡器其实就只能帮你输入卡号到腾讯的财付通快捷支付界面,然后走信用卡或借记卡无卡支付通道,别无它用。和square比起来简直就不是一个时代的东西。

特别提醒:这刷卡器的软件号称经过SSL或SET加密传输数据,我手贱抓了一把包(见文末),竟然是HTTP明文传输(至少是android客户端这样),天雷滚滚啊,信用卡数据啊最起码用个SSL好吧,这叫我怎么相信你啊? 一个对客户敏感数据传输极不负责的公司,我不相信在服务器端会有多么严密的安全防护,用了乐刷的朋友们,自求多福吧,反正我是打算换卡了。

想要自己体验的可以自己去申请,先给39押金,任意交易3笔后返还押金(给自己充3笔10元话费足矣):

http://www.yeahka.com/yajinhuodong.html

下面开始正文

先看包装,看起来很普通的信封,里面是气泡膜:

正面

背面

刷卡器:

 

看完外观,下面开始玩软的。

据说android和ios都可以支持,touch最近刚好挂了,主力手机是wp不被支持,于是找了个华为的C8650来体验,按照官方网站的说法,菜市场里可以下载到android应用,去菜市场看了看,还真有,但,怎么开法商是个人名称而不是公司名?而且,下载量似乎很丢脸。

仔细看了看,似乎真的是这货

下载,安装,开跑:

试试充个QB吧,似乎这也是目前已知可以进行的最小金额的交易了。

插上刷卡器,第一次使用需要激活,手头这个已经被自己手贱激活过了就截不了屏了。

然后选Q币充值,给Q号,然后就到了收银台

这里可以选刷卡或者银联手机支付,咦,初级阶段?好像很眼熟的样子……这个等会再玩,先来刷卡看看

一张ICBC的信用卡,很容易就刷过去了

接下来就有点不太对劲了,这问我是哪家银行干嘛?难道不走银联的?

真相如此:他娘的,原来只是个读卡号的东西……看到了吧,持卡人姓名、CVV、有效期、身份证号、手机。。。这不就是财付通、支付宝之类平台上的无卡支付嘛……

提交后,收到的居然是财付通发来的短信

接下来就懒得喷了也没必要喷了,到此为止了,补充一下,工行那边交易明细里看到刷卡地点是深圳市财付通科技有限公司,交易类型和以往的无卡支付一样显示为POS交易。

最后,出于好奇,这软件号称是SSL或SET加密,来抓个包看看,下面是一张没在乐刷用过的卡,会被要求输入所有信息

居然是明文HTTP,没有SSL,更别提SET了。。只给重点,别的不多说

Host: www.yeahka.com

GET /cgi-bin/transaction_proxy.cgi?p=*******************************************************

*********************************************************

*********************************************************

*********************************************************

*********************************************************

*********************************************************

*********************************************************

********************* HTTP/1.1

几经折腾,querystring还是没搞定,不知道其中有没有信用卡号,所以还是藏着吧,我想对,于专业人士来说这个不会是大问题。(大概是url encode外加base64外加某种别的加密方式)

再来看服务器返回:

1d4
PD94bWwgdmVyc2lvbj0iMS4wIiA/Pgo8cm9vdD4KPGVycm9y

X2NvZGU+LTgwMDAwNTY8L2Vycm9yX2NvZGU+CjxlcnJvcl

9tc2c+5oKo55qE5aeT5ZCN5LiO6ZO26KGM6aKE55WZ5LiN5L

iA6Ie077yM6K+35qC45a+577yBPC9lcnJvcl9tc2c+CjxlcnJvcl90

aXA+6K+35qC45a+55oKo55qE5oyB5Y2h5Lq65aeT5ZCN77yM

56Gu5L+d5LiO5q2k5Y2h5byA5oi35L+h5oGv5LiA6Ie077yBPC

9lcnJvcl90aXA+CjxyZXR1cm5fbW9iaWxlPjEyMzQ1Njc4OTAx

MjwvcmV0dXJuX21vYmlsZT4KPHRyYW5zYWN0aW9uX2lkP

jIwMTIwODE5MTQzNjQyMDAwMDAwMDAwMDAwMDAxN

DA0PC90cmFuc2FjdGlvbl9pZD4KPC9yb290Pgo=
0

这个直接就base64解码完事。

<?xml version=”1.0″ ?>
<root>
<error_code>-8000056</error_code>
<error_msg>您的姓名与银行预留不一致,请核对!</error_msg>
<error_tip>请核对您的持卡人姓名,确保与此卡开户信息一致!</error_tip>
<return_mobile>xxxxxxxxxxxx</return_mobile>
<transaction_id>YYYYMMDDHHMMSS00000000000000xxxx</transaction_id>
</root>

我还能说什么呢?有相关人士愿意解释一下吗?

3 thoughts on “喷一喷国产的Square-乐刷

  1. lytsing

    去年我也曾经 tcpdump 数据,私下知道这么回事,作为竞争对手的公司,也不方便撰文发表,但最起码 https 是必须的。

    Reply

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.