最近,趨勢科技
發現支付寶android應用程式上有兩個漏洞,可被攻擊者用來進行網路釣魚(phishing)攻擊以竊取支付寶認證資訊。
第乙個漏洞:輸出元件activity
android
應用程式有幾個重要的元件,其中之一是activity(activity是android元件中最基本也是最為常見用的四大元件之一)。activity有乙個重要的屬性,android:exported。如果此屬性設定為「true」時,安裝在同一android裝置上的每個應用程式都可以呼叫這個元件(activity)。
趨勢科技
發現支付寶的官方android應用程式存在此元件被攻擊的風險。支付寶錢包8.2版本程式的activity元件部分,可被用來增加乙個支付寶卡券歸集管理平台(支付寶內部命名為「alipass」)。別有用心的人可以用此元件(activity)來建立乙個alipass登入顯示,用來將使用者引導到網路釣魚(phishing)網頁或顯示qr碼,然後使用者會被要求輸入支付寶解鎖密碼,讓使用者相信該登陸介面確實來自支付寶。
(圖1、利用activity所製作的釣魚**)
第二個漏洞:惡意的許可權
在此攻擊中,惡意應用程式在目標應用前安裝,取得目標應用程式的修改許可權和能訪問該許可權所保護的元件。
(圖2、攻擊漏洞的測試通知)
(圖3、要求安裝惡意軟體的通知。)
趨勢科技
已經披露上述漏洞給支付寶,他們看到此問題並已更新版本解決此漏洞,版本8.2以上的支付寶應用程式已經修復該漏洞。
趨勢科技
提醒所有支付寶使用者,請務必檢查自己是否仍在使用帶有漏洞的android手機支付寶,如未更新請盡快更新,並最好使用趨勢科技移動安全個人版軟體來進行安全防護。
Ubuntu下安裝支付寶安全控制項
tar zxvf 解壓之,只有乙個aliedit.sh檔案,執行這個檔案就安裝成功了,重啟firefox就可以用了.這個檔案很高階,他雜糅了兩部分 前一部分是一小段指令碼,後一部分估計是二進位制檔案.如果用編輯器開啟之,會發現是亂碼,這既不是gbk,gb2312也不是utf系列,而是壓縮之後的二進位...
支付寶安全中心 支付寶禁止用於虛擬幣交易
文 鄒正東 火星財經ajyxzgfhwspp 微信 hxcj24h 一線報道,10 月 10 日,支付寶安全中心官www.cppcns.com方微博訊息重申了對虛擬貨幣場外交易的態度,禁止將支付寶用於虛擬幣交易。支付寶表示,若發現交易涉及位元幣或其他虛擬貨幣交易,支付寶會立jyxzgfhws即停止相...
安卓整合支付寶支付功能
1.準備sdk 進入ws mobile pay sdk base 支付寶錢包支付介面開發包2.0標準版 201501014 demo 客戶端demo,解壓其中安卓對應的zip,得到alipay sdk common為jar 包,alipay demo是對應的demo程式 ws mobile pay ...