iOS8.2曝漏洞,微信支付、支付宝纷纷中招pc软件 文章资讯 手机软件

您当前的位置→图文中心手机技巧iphone技巧iOS8.2曝漏洞,微信支付、支付宝纷纷中招

iOS8.2曝漏洞,微信支付、支付宝纷纷中招


2015/3/26  编辑:admin 来源:本站整理

就在越狱与否的争论中, 反对方最铿锵的证据就是iOS原生系统system的安全性。

  不过, ID@蒸米 的用户昨天在乌云平台发布出来了一篇漏洞报告文章, 指出iOS系统无论越狱与否, 都存在一个严重安全隐患。 他展示了在未越狱且搭载iOS8.2系统的iPhone上用URL Scheme设计design漏洞劫持微信支付(京东客户端)和支付宝(美团客户端)账号密码的视频Demo。

iOS8.2曝漏洞,微信支付、支付宝纷纷中招iOS8.2曝漏洞, 微信支付、支付宝纷纷中招   arpun.com

  演示视频中“伪装”成支付宝的“FakeAlipay”, 在收到美团发来的订单信息后, 生成了一个和支付宝一样的登陆界面, 用户在输入帐号密码后, FakeAlipay会把账号密码以及订单信息发送send到黑客的服务器上, 黑客获得这些信息后可以能够在我自己的 iOS 设备上完成支付, 并把支付成功的 URL Scheme 信息发回给FakeAlipay, FakeAlipay再把支付成功的 URL Scheme 信息转发给美团, 这样就完成了一次被劫持的支付。

iOS8.2曝漏洞,微信支付、支付宝纷纷中招iOS8.2曝漏洞, 微信支付、支付宝纷纷中招

  这是为什么呢?

  作者介绍说明, 在 iOS上, 一个应用可以将其自身“绑定”到一个自已来定义URL Scheme上, 该scheme用于从浏览器或其他应用中启动该应用。

  在iOS中, 多个应用程序注册了同一个种URL Scheme的时候, iOS系统程序的优先级高于第三方开发程序。 但是一种URL Scheme的注册应用程序都属于第三方开发, 那么它们之间就没有优先级了。 作者经过测试, 证明系统判定优先级顺序与Bundle ID有关联(一个Bundle ID对应一个应用)。 可以通过精心伪造Bundle ID, iOS就一定会调用 我们自己App的URL Scheme去接收相应的URL Scheme请求。

iOS8.2曝漏洞,微信支付、支付宝纷纷中招iOS8.2曝漏洞, 微信支付、支付宝纷纷中招
名称: iOS8.1.3验证关闭 iOS8.2越狱何时到来?
链接: http://www.arpun.com/article/14403.html

  据了解到, 作者是来自香港中文大学的博士生, 他声明并该漏洞是iOS系统漏洞。 至于支付宝、微信、京东客户端, 只是为了演示, 其他应用同样可以中招。

相关文章
  • iOS 11.0.3: 这次带来 iPhone 6s/7/7P 修复
  • 视频转场音效包transition sfx免费下载
  • iOS 11有点费电
  • 魔兽世界WoW Legion companion随身app不能安装怎么解决
  • 华硕开机为什么会自动进入BIOS界面
  • iOS 11正式版几时出?iOS 11正式版将于9月20日发布
  • 哔哩哔哩直播姬iOS版直播教程?哔哩哔哩直播姬怎么直播
  • 苹果iOS11 Beta 5更新了,看看更新了什么内容
  • IOS11降级IOS10教程完美不丢资料
  • iOS11降级iOS10详细教程
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图