menbie.com 等级： / 门别币：979450
	发表：2021/4/27 10:04:57  查看：155  回复：0 次
iOS曝惊天漏洞：微信支付宝全中招

在越狱与否的争论中，反对方最铿锵的证据就是iOS原生系统的安全性。

不过，ID@蒸米 的用户昨天在乌云平台发布了一篇漏洞报告文章，指出iOS系统无论越狱与否，都存在一个重大安全隐患。他展示了在未越狱且搭载iOS 8.2系统的iPhone上用URL Scheme设计漏洞劫持微信支付（京东客户端）和支付宝（美团客户端）账号密码的视频Demo。

演示视频中“伪装”成支付宝的“FakeAlipay”，在收到美团发来的订单信息后，生成了一个和支付宝一样的登陆界面，用户在输入帐号密码后，FakeAlipay会把账号密码以及订单信息发送到黑客的服务器上，黑客获得这些信息后可以在自己的iOS设备上完成支付，并把支付成功的URL Scheme信息发回给FakeAlipay，FakeAlipay再把支付成功的URL Scheme信息转发给美团，这样就完成了一次被劫持的支付。

这是为什么呢？

作者介绍，在iOS上，一个应用可以将其自身“绑定”到一个自定义URL Scheme上，该scheme用于从浏览器或其他应用中启动该应用。

在iOS中，多个应用程序注册了同一种URL Scheme的时候，iOS系统程序的优先级高于第三方开发程序。但是一种URL Scheme的注册应用程序都属于第三方开发，那么它们之间就没有优先级了。作者经过测试，证明系统判定优先级顺序与Bundle ID有关（一个Bundle ID对应一个应用）。通过精心伪造Bundle ID，iOS就会调用 我们App的URL Scheme去接收相应的URL Scheme请求。据悉，作者是来自香港中文大学的博士生，他声明并该漏洞是iOS系统漏洞。至于支付宝、微信、京东客户端，仅是为了演示，其他应用同样可以中招。

点击报名>>2015亿邦跨境贸易电商峰会

给楼主点动力吧，已有 0 个人对这内容打赏，关于打赏说明. 收藏主题 推荐连接：淘宝网店价值评估、天猫网店评估、淘宝0信誉店铺

智能手机市场正重建新秩序 时间：6月26日 看 17045 次  李佳琦：梦想做属于中国的美妆集团 时间：6月26日 看 9455 次  真实莆田造鞋：上千家造AJ鞋 证书灰色渠道就可购.. 时间：6月26日 看 10145 次  “腾盟计划2.0”如何帮商家实现“全链路数字化增长.. 时间：6月26日 看 7523 次  2021小红书活跃用户画像趋势报告 时间：6月26日 看 3728 次  淘宝今日头条盘点|2021-04-21 时间：6月26日 看 4004 次  谁来填充旅游业1.3万亿美元的缺口 携程还是Boo.. 时间：6月26日 看 6488 次  5家店估值50亿 又一个新赛道爆发：一线VC悉数下.. 时间：6月26日 看 6350 次  淘宝个人店铺出售 一钻二钻三钻四钻五钻皇冠店出售 .. 时间：6月26日 看 16284 次  淘宝个人店铺出售 一钻二钻三钻四钻五钻皇冠店出售 .. 时间：6月26日 看 7866 次  淘宝个人店铺出售 一钻二钻三钻四钻五钻皇冠店出售 .. 时间：6月26日 看 5934 次

更多内容>>

下载APP客户端，随时随地上门别，方便卖家网店交易

微信扫一扫，纯粹电商人微信交流群，欢迎加入