微信号:jszj2014215

介绍:主要分享移动互联网的相关产品和资讯,关注你将学习到更多,在互联网的当下你会赚更多的钱...

iOS曝惊天漏洞,微信、支付宝全中招

2015-03-27 12:41 Android技术之家

在越狱与否的争论中,反对方最铿锵的证据就是iOS原生系统的安全性。不过,ID@蒸米的用户昨天在乌云平台发布了一篇漏洞报告文章,指出iOS系统无论越狱与否,都存在一个重大安全隐患。他展示了在未越狱且搭载iOS8.2系统的iPhone上用URLScheme设计漏洞劫持微信支付(京东客户端)和支付宝(美团客户端)账号密码的视频Demo。



演示视频中“伪装”成支付宝的“FakeAlipay”,在收到美团发来的订单信息后,生成了一个和支付宝一样的登陆界面,用户在输入帐号密码后,FakeAlipay会把账号密码以及订单信息发送到黑客的服务器上,黑客获得这些信息后可以在自己的iOS设备上完成支付,并把支付成功的URLScheme信息发回给FakeAlipay,FakeAlipay再把支付成功的URLScheme信息转发给美团,这样就完成了一次被劫持的支付。



这是为什么呢?


作者介绍,在iOS上,一个应用可以将其自身“绑定”到一个自定义URLScheme上,该scheme用于从浏览器或其他应用中启动该应用。


在iOS中,多个应用程序注册了同一种URLScheme的时候,iOS系统程序的优先级高于第三方开发程序。但是一种URLScheme的注册应用程序都属于第三方开发,那么它们之间就没有优先级了。作者经过测试,证明系统判定优先级顺序与BundleID有关(一个BundleID对应一个应用)。通过精心伪造BundleID,iOS就会调用我们App的URLScheme去接收相应的URLScheme请求。



 
Android技术之家 更多文章 自动展开标题通知栏,兼容各个版本,欢饮大家关注,并参与讨论。 minSdkVersion、targetSdkVersion、targetApiLevel的区别 ndk调用实战 GreenDao数据库操作 大家来找茬 看看下面这个单例模式有什么不妥的
猜您喜欢 【Android】游戏源码:大话骰子 猎豹"快切App"中用到的Android开发技巧探索 使用 SideWaffle 创建您自己的 Visual Studio 模板 Learn the ABC of CSS | 重识CSS Hexo 与 Nginx 实现沉浸式多语言博客