当前位置:首页 >> 互联网 >>

当心你的支付宝密码!iOS系统被指存重大安全隐患

当心你的支付宝密码!iOS 系统被指存重大安全隐患
iOS 系统的安全性大家都比较认可,通常情况下我们认为在非越狱的 iPhone 设备上正常操作不 会出现被盗号的情况,不过今天网友发布的一篇文章指出,即便是非越狱 iPhone 设备,由于 iOS 的 URL Scheme 机制存在漏洞,也会出现用户重要账户被盗的可能。

这篇技术文章来自香港中文大学的博士生@蒸米 spark , 他发现通过 iOS 系统的 URL Scheme 设计漏洞可以轻松的盗取用户的支付宝和微信账户信息。为了便于理解,作者举了一个用美团团购下 单,最后再选择支付宝/微信完成支付的例子:

美团首先将订单信息通过 URL Scheme 发送给 Alipay,Alipay 收到订单信息,调用支付界面,用 户在 Alipay 上完成支付后,Alipay 再发送一个 URL Scheme 给美团,美团收到付款信息后,显示团 购成功的界面。

XY 苹果助手无需帐号免费下载游戏应用。官网地址:http://www.xyzs.com

但因为 URL scheme 这个机制太简单了,完全没有考虑有多个 app 声明同一个 URL Scheme 的情况,也没有权限管理之类的方案。iOS 的官方说明表示“在多个应用程序注册了同一种 URLScheme 的时候,iOS 系统程序的优先级高于第三方开发程序,但是如果一种 URL Scheme 的 注册应用程序都是第三方开发的,那么这些程序的优先级关系是不确定的。”而在这这研究后发现这个 顺序是和 Bundle ID 有关的,如果精心构造 Bundle ID,iOS 总是会调用这个 app 的 URL Scheme 去接收相应的 URL Scheme 请求。

作者 精心构造一个 app 并声明 “alipay” 这个 URL Scheme,后安装的 FakeAlipay 应用 就劫持了美团与支付宝之间的支付流程,并且可以在用户毫无意识情况下获取用户的帐号,支付密码,以 及帮用户完成支付。

除了支付宝和微信这类移动支付应用容易被黑客瞄准,作者发现谷歌的浏览器应用 Chrome 的 URL Scheme 也容易被劫持。

通过这篇文章我们了解到,至少目前苹果的 iOS 系统上这一漏洞是客观存在的,而且被不法分 子瞄准之后很容易造成用户的财产损失或者私人信息的泄露。我们希望借助这样的一个技术报告,苹 果能够做出回应,从系统上解决这一问题。

XY 苹果助手无需帐号免费下载游戏应用。官网地址:http://www.xyzs.com


相关文章:
当心你的支付宝密码!iOS系统被指存重大安全隐患.doc
当心你的支付宝密码!iOS 系统被指存重大安全隐患 iOS 系统的安全性大家都比
支付宝这个功能一定要关掉,小心你的手机丢失钱被刷光.doc
支付宝这个功能一定要关掉,小心你的手机丢失钱被刷光 最近马云给大家带来了扫码领红包活动,相信大家在以 后的日子里会更频繁的去使用支付宝。对于不常用支付宝的...
Apple Pay真的是最安全的支付方式吗?.doc
那么,这个官方宣称很安全的支付方式是否有隐患呢?...两套系统: 1、苹果的 iOS 系统 2、内置安全芯片...Apple Pay 的话,就会要求你输入信用卡的支付密码。...
小心!银行卡管理类APP软件存安全隐患.doc
小心!银行卡管理类APP软件存安全隐患_计算机软件及应用_IT/计算机_专业资料。...(如银行网银、支付宝等)的密码一致,则可能被不法 磊哥网络推广工作室 www....
支付宝没余额竟被人花掉7000多 这个隐患千万当心.doc
隐患| 余额|支付宝没余额竟被人花掉7000多 这个隐患...卡号和他的支 付宝账号一致,并且绑定为安全验证手机...当心你的支付宝密码!iOS... 暂无评价 2页 免费...
支付宝怎么设置和更改指纹支付.pdf
支付宝怎么设置和更改指纹支付_电子/电路_工程科技_专业资料。支付宝怎么设置和更改指纹支付通过手机支付宝,开通指纹支付流程(iOS系统) 注: 开通手机指纹支付时根据...