最近偶然在腾讯看到手机刷卡器免费送,那就毫不犹豫的搞了一只回来,简单试用后,开喷。
刷卡器叫乐刷
先一句话总结:现阶段这刷卡器就是脱裤子放屁,多此一举。
再多说点:这刷卡器其实就只能帮你输入卡号到腾讯的财付通快捷支付界面,然后走信用卡或借记卡无卡支付通道,别无它用。和square比起来简直就不是一个时代的东西。
特别提醒:这刷卡器的软件号称经过SSL或SET加密传输数据,我手贱抓了一把包(见文末),竟然是HTTP明文传输(至少是android客户端这样),天雷滚滚啊,信用卡数据啊最起码用个SSL好吧,这叫我怎么相信你啊? 一个对客户敏感数据传输极不负责的公司,我不相信在服务器端会有多么严密的安全防护,用了乐刷的朋友们,自求多福吧,反正我是打算换卡了。
想要自己体验的可以自己去申请,先给39押金,任意交易3笔后返还押金(给自己充3笔10元话费足矣):
http://www.yeahka.com/yajinhuodong.html
下面开始正文
先看包装,看起来很普通的信封,里面是气泡膜:
正面
背面
刷卡器:
看完外观,下面开始玩软的。
据说android和ios都可以支持,touch最近刚好挂了,主力手机是wp不被支持,于是找了个华为的C8650来体验,按照官方网站的说法,菜市场里可以下载到android应用,去菜市场看了看,还真有,但,怎么开法商是个人名称而不是公司名?而且,下载量似乎很丢脸。
仔细看了看,似乎真的是这货
下载,安装,开跑:
试试充个QB吧,似乎这也是目前已知可以进行的最小金额的交易了。
插上刷卡器,第一次使用需要激活,手头这个已经被自己手贱激活过了就截不了屏了。
然后选Q币充值,给Q号,然后就到了收银台
这里可以选刷卡或者银联手机支付,咦,初级阶段?好像很眼熟的样子……这个等会再玩,先来刷卡看看
一张ICBC的信用卡,很容易就刷过去了
接下来就有点不太对劲了,这问我是哪家银行干嘛?难道不走银联的?
真相如此:他娘的,原来只是个读卡号的东西……看到了吧,持卡人姓名、CVV、有效期、身份证号、手机。。。这不就是财付通、支付宝之类平台上的无卡支付嘛……
提交后,收到的居然是财付通发来的短信
接下来就懒得喷了也没必要喷了,到此为止了,补充一下,工行那边交易明细里看到刷卡地点是深圳市财付通科技有限公司,交易类型和以往的无卡支付一样显示为POS交易。
最后,出于好奇,这软件号称是SSL或SET加密,来抓个包看看,下面是一张没在乐刷用过的卡,会被要求输入所有信息
居然是明文HTTP,没有SSL,更别提SET了。。只给重点,别的不多说
Host: www.yeahka.com
GET /cgi-bin/transaction_proxy.cgi?p=*******************************************************
*********************************************************
*********************************************************
*********************************************************
*********************************************************
*********************************************************
*********************************************************
********************* HTTP/1.1
几经折腾,querystring还是没搞定,不知道其中有没有信用卡号,所以还是藏着吧,我想对于专业人士来说这个不会是大问题。(大概是url encode外加base64外加某种别的加密方式)
再来看服务器返回:
1d4
PD94bWwgdmVyc2lvbj0iMS4wIiA/Pgo8cm22224KPGVycm9y
X2NvZGU+LTgwMDAwNTY8L2Vycm9yX2NvZGU+CjxlcnJvcl
9tc2c+5oKo55qE5ae1111N5LiO6ZO26KGM6aKE55WZ5LiN5L
iA6Ie077yM6K+35qC45a+577yBPC9lcnJvcl9tc2c+CjxlcnJvcl90
aXA+6K+35qC45a+55oKo52222oyB5Y2h5Lq65aeT5ZCN77yM
56Gu5L+d5LiO5q33332h5byA5oi35L+h5oGv5LiA6Ie077yBPC
9lcnJvcl90aXA+4444ZXR1cm5fbW9iaWxlPjEyMzQ1Njc4OTAx
MjwvcmV0dXJuX21vYmlsZT4KPHRyYW5zYWN0aW9uX2lkP
jIwMTIwODE5MTQzNjQyMDAwMDAwMDAwMDAwMDAxN
DA0PC90cmFuc2FjdGlvbl9pZD4KPC9yb290Pgo=
0
这个直接就base64解码完事。
<?xml version=”1.0″ ?>
<root>
<error_code>-8000056</error_code>
<error_msg>您的姓名与银行预留不一致,请核对!</error_msg>
<error_tip>请核对您的持卡人姓名,确保与此卡开户信息一致!</error_tip>
<return_mobile>xxxxxxxxxxxx</return_mobile>
<transaction_id>YYYYMMDDHHMMSS00000000000000xxxx</transaction_id>
</root>
我还能说什么呢?有相关人士愿意解释一下吗?