跳绳厂家
免费服务热线

Free service

hotline

010-00000000
跳绳厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

视频iOS曝惊天漏洞微信支付宝全中招

发布时间:2020-03-23 11:11:51 阅读: 来源:跳绳厂家

在越狱与否的争辩中,反对方最铿锵的证据就是iOS原生系统的安全性。不过,ID@蒸米 的用户昨天在乌云平台发布了一篇漏洞报告文章,指出iOS系统不管越狱与否,都存在一个重大安全隐患。他展现了在未越狱且搭载iOS 8.2系统的iPhone上用URL Scheme设计漏洞劫持微信支付(京东客户端)和支付宝(美团客户端)账号密码的视频Demo。

演示视频中“假装”成支付宝的“FakeAlipay”,在收到美团发来的定单信息后,生成了一个和支付宝一样的登陆界面,用户在输入帐号密码后,FakeAlipay会把账号密码和定单信息发送到黑客的服务器上,黑客取得这些信息后可以在自己的 iOS 装备上完成支付,并把支付成功的 URL Scheme 信息发回给FakeAlipay,FakeAlipay再把支付成功的 URL Scheme 信息转发给美团,这样就完成了一次被劫持的支付。

这是为何呢?

作者介绍,在iOS上,一个运用可以将其本身“绑定”到一个自定义URLScheme上,该scheme用于从浏览器或其他运用中启动该运用。

在iOS中,多个应用程序注册了同一种URL Scheme的时候,iOS系统程序的优先级高于第三方开发程序。但是一种URL Scheme的注册应用程序都属于第三方开发,那末它们之间就没有优先级了。作者经过测试,证明系统判定优先级顺序与Bundle ID有关(一个Bundle ID对应一个运用)。通过精心捏造Bundle ID,iOS就会调用 我们App的URL Scheme去接收相应的URL Scheme要求。

据悉,作者是来自香港中文大学的博士生,他声明并该漏洞是iOS系统漏洞。至于支付宝、微信、京东客户端,仅是为了演示,其他运用一样可以中招。

乌云原文:

Demo1:

Demo2:

访问:

苹果在线商店(中国)

武汉男科医院排名

上海代谢病医院

北京最好的代谢病医院

重庆美容医院哪家最好

相关阅读