趋势科技发现支付宝安卓版漏洞


发布人:admin分类:网络安全浏览量:30发布时间:2017-12-12

最近,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。

第一个漏洞:输出组件Activity

Android应用程序有几个重要的组件,其中之一是Activity(Activity是Android组件中最基本也是最为常见用的四大组件之一)。Activity有一个重要的属性,android:exported。如果此属性设定为「true」时,安装在同一Android设备上的每个应用程序都可以调用这个组件(Activity)。

趋势科技发现支付宝的官方Android应用程序存在此组件被攻击的风险。支付宝钱包8.2版本程序的Activity组件部分,可被用来增加一个支付宝卡券归集管理平台(支付宝内部命名为“AliPass”)。别有用心的人可以用此组件(Activity)来建立一个Alipass登录显示,用来将用户引导到网络钓鱼(Phishing)网页或显示QR码,然后使用者会被要求输入支付宝解锁密码,让使用者相信该登陆界面确实来自支付宝。

(图1、利用Activity所制作的钓鱼网址)

第二个漏洞:恶意的权限

在此攻击中,恶意应用程序在目标应用前安裝,取得目标应用程序的修改权限和能存取该权限所保护的组件。

支付宝应用程序定义了权限com.alipay.mobile.push.permission.PUSHSERVICE来保护组件com.alipay.mobile.push.integration.RecvMsgIntentService。支付宝应用程序利用该组件接收来自支付宝服务器的邮件,并发送通知用户应用程序有更新。当有恶意应用程序被给予PUSHSERVICE权限时,攻击者可以轻易地制造假的程序,并将其送到RecvMsgIntentService以推送更新的方式通知用户下载。

(图2、攻击漏洞的测试通知)

(图3、要求安装恶意软件的通知。)

一旦用户接受了更新,就会下载并安装另一个恶意应用程序。此程序可以劫持支付宝的快捷方式和启动伪支付宝应用程序以取得支付宝用户账号信息。

趋势科技已经披露上述漏洞给支付宝,他们看到此问题并已更新版本解决此漏洞,版本8.2以上的支付宝应用程序已经修复该漏洞。

趋势科技提醒所有支付宝用户,请务必检查自己是否仍在使用带有漏洞的Android手机支付宝,如未更新请尽快更新,并最好使用趋势科技移动安全个人版软件来进行安全防护。

[via 趋势科技]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21289023(PV) 页面执行时间:212.687(MS)
  • xml
  • 网站地图