特别推荐:

支付网址导航

联行号查询系统

支付牌照查询

MCC查询

二清POS查询

首页 >> 支付风险 >> 内容
iOS曝惊天漏洞:微信支付、支付宝全存被盗风险!

时间:2015-3-25 0:41:15

在越狱与否的争论中,反对方最铿锵的证据就是ios原生系统的安全性。 不过,id@蒸米 的用户昨天在乌云平台发布了一篇漏洞报告文章,指出ios系统无论越狱与否,都存在一个重大安全隐患。他展示了在未越狱且搭载ios 8.2系统的iphone上用url scheme设计漏洞劫持微信支付(京东客户端)和支付宝(美团客户端)账号密码的视频demo。

iOS曝惊天漏洞:微信支付、支付宝全存被盗风险!

演示视频中“伪装”成支付宝的“fakealipay”,在收到美团发来的订单信息后,生成了一个和支付宝一样的登陆界面,用户在输入帐号密码后,fakealipay会把账号密码以及订单信息发送到黑客的服务器上,黑客获得这些信息后可以在自己的 ios 设备上完成支付,并把支付成功的 url scheme 信息发回给fakealipay,fakealipay再把支付成功的 url scheme 信息转发给美团,这样就完成了一次被劫持的支付。

iOS曝惊天漏洞:微信支付、支付宝全存被盗风险!

这是为什么呢?

作者介绍,在 ios上,一个应用可以将其自身“绑定”到一个自定义url scheme上,该scheme用于从浏览器或其他应用中启动该应用。

在ios中,多个应用程序注册了同一种url scheme的时候,ios系统程序的优先级高于第三方开发程序。但是一种url scheme的注册应用程序都属于第三方开发,那么它们之间就没有优先级了。作者经过测试,证明系统判定优先级顺序与bundle id有关(一个bundle id对应一个应用)。通过精心伪造bundle id,ios就会调用 我们app的url scheme去接收相应的url scheme请求。

iOS曝惊天漏洞:微信支付、支付宝全存被盗风险!

据悉,作者是来自香港中文大学的博士生,他声明并该漏洞是ios系统漏洞。至于支付宝、微信、京东客户端,仅是为了演示,其他应用同样可以中招。

>>信用卡积分查询

>>POS错误码查询

>>支付监管机构列表

>>POS代理商查询

>>POS代理商QQ群

>>批发市场白名单

>>全国企业信用查询

>>银行卡BIN查询

>>征信查询

>>POS裸机批发

>>招聘网站列表

>>POS交易通道

>>POS代理商推荐

>>POS流量卡批发

分享到:微信QQ好友QQ空间新浪微博腾讯微博人人网百度贴吧百度新首页一键分享复制网址
  • 上一篇:冒充拉卡拉POS代理商!失联?大量商户营业款被转至其账户!
  • 下一篇:“养卡神器”瑞银信手机POS三费率被媒体曝光!
  • 返回顶部
    0.38秒到带积分,高分润秒结!
    立即联系