iOS曝惊天漏洞:可截取微信/支付宝密码

  科客点评:相信很多用iPhone就是为了安全性的朋友们要退缩了。

  在越狱与否的争论中,反对方最铿锵的证据就是iOS原生系统的安全性。

iOS曝惊天漏洞:可截取微信/支付宝密码

  不过,ID@蒸米 的用户昨天在乌云平台发布了一篇漏洞报告文章,指出iOS系统无论越狱与否,都存在一个重大安全隐患。他展示了在未越狱且搭载iOS 8.2系统的iPhone上用URL Scheme设计漏洞劫持微信支付(京东客户端)和支付宝(美团客户端)账号密码的视频Demo。

  演示视频中“伪装”成支付宝的“FakeAlipay”,在收到美团发来的订单信息后,生成了一个和支付宝一样的登陆界面,用户在输入帐号密码后,FakeAlipay会把账号密码以及订单信息发送到黑客的服务器上,黑客获得这些信息后可以在自己的 iOS 设备上完成支付,并把支付成功的 URL Scheme 信息发回给  FakeAlipay,FakeAlipay再把支付成功的 URL Scheme 信息转发给美团,这样就完成了一次被劫持的支付。

iOS曝惊天漏洞:可截取微信/支付宝密码

  这是为什么呢?

  作者介绍,在 iOS上,一个应用可以将其自身“绑定”到一个自定义URL Scheme上,该scheme用于从浏览器或其他应用中启动该应用。

  在iOS中,多个应用程序注册了同一种URL Scheme的时候,iOS系统程序的优先级高于第三方开发程序。但是一种URL Scheme的注册应用程序都属于第三方开发,那么它们之间就没有优先级了。作者经过测试,证明系统判定优先级顺序与Bundle ID有关(一个Bundle ID对应一个应用)。通过精心伪造Bundle ID,iOS就会调用 我们App的URL Scheme去接收相应的URL Scheme请求。

  据悉,作者是来自香港中文大学的博士生,他声明并该漏洞是iOS系统漏洞。至于支付宝、微信、京东客户端,仅是为了演示,其他应用同样可以中招。(驱动之家MyDrivers)

注:转载文章,不代表本站赞同其观点和对其真实性负责,本站不承担此类稿件侵权行为的连带责任。如版权持有者对所转载文章有异议,请与我们联系。

收藏
分享到:
我要点评 3 条评论

最多可输入140个字

  • 远坂凛

    远坂凛

    ████████████看 黃 魸 手 机 浏 覽 噐 咑 幵:275236.c○m 郗蒛資羱!无需下载、直接欣赏,妳嬞鍀!████████████拙装

    回复

  • 波梦

    波梦

    买iPhone就是求个安心好啵?

    回复

  • 翼宿

    翼宿

    不敢用了好吗?????

    回复

Talk客

  1. Talk客:共享单车风波四起,谁又将是最后赢家呢?
  2. Talk客:各取所需而已?谷歌这11亿刀是否物超所值?
  3. Talk客:安卓旗舰四面围剿,新iPhone能否成功逆袭?
  4. Talk客:6GB大运存手机遍地走,是刚需还是噱头?
  5. Talk客:靠脸吃饭成现实!支付宝“刷脸支付”商用,你怎么看?
  6. Talk客:年度最强安卓旗舰三星Note8来了,你准备剁手?
  7. Talk客:联想痛失全球PC第一王座 靠VR能扳回一城?
  8. Talk客:昔日大牌,归来已是小众!他们的出路在哪?
  9. Talk客:魅族PRO 7会是它的春天?联发科高端梦何时圆
  10. Talk客:国产品牌豪夺国内市场份额 苹果三星销量能否逆袭?

作者推荐