安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 业界资讯 > 趋势科技发现支付宝安卓版漏洞

趋势科技发现支付宝安卓版漏洞

时间:2014-08-27来源: 作者:昵称 点击:
最近,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。第一个漏洞:输出组件ActivityAndroid应用程序有几个重要的组件,其


最近,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。 //内容来自AnYun.ORG

第一个漏洞:输出组件Activity

//内容来自AnYun.ORG

Android应用程序有几个重要的组件,其中之一是Activity(Activity是Android组件中最基本也是最为常见用的四大组件之一)。Activity有一个重要的属性,android:exported。如果此属性设定为「true」时,安装在同一Android设备上的每个应用程序都可以调用这个组件(Activity)。 //本文来自安云网

趋势科技发现支付宝的官方Android应用程序存在此组件被攻击的风险。支付宝钱包8.2版本程序的Activity组件部分,可被用来增加一个支付宝卡券归集管理平台(支付宝内部命名为“AliPass”)。别有用心的人可以用此组件(Activity)来建立一个Alipass登录显示,用来将用户引导到网络钓鱼(Phishing)网页或显示QR码,然后使用者会被要求输入支付宝解锁密码,让使用者相信该登陆界面确实来自支付宝。

//内容来自AnYun.ORG

趋势科技发现支付宝安卓版漏洞

//内容来自AnYun.ORG

(图1、利用Activity所制作的钓鱼网址)

//本文来自安云网

第二个漏洞:恶意的权限

//内容来自AnYun.ORG

在此攻击中,恶意应用程序在目标应用前安裝,取得目标应用程序的修改权限和能存取该权限所保护的组件。 //内容来自AnYun.ORG

支付宝应用程序定义了权限com.alipay.mobile.push.permission.PUSHSERVICE来保护组件com.alipay.mobile.push.integration.RecvMsgIntentService。支付宝应用程序利用该组件接收来自支付宝服务器的邮件,并发送通知用户应用程序有更新。当有恶意应用程序被给予PUSHSERVICE权限时,攻击者可以轻易地制造假的程序,并将其送到RecvMsgIntentService以推送更新的方式通知用户下载。

//内容来自安云网

趋势科技发现支付宝安卓版漏洞 //内容来自安云网

(图2、攻击漏洞的测试通知) //本文来自安云网

趋势科技发现支付宝安卓版漏洞

//内容来自安云网

(图3、要求安装恶意软件的通知。)

//内容来自安云网

一旦用户接受了更新,就会下载并安装另一个恶意应用程序。此程序可以劫持支付宝的快捷方式和启动伪支付宝应用程序以取得支付宝用户账号信息。

//本文来自安云网

趋势科技已经披露上述漏洞给支付宝,他们看到此问题并已更新版本解决此漏洞,版本8.2以上的支付宝应用程序已经修复该漏洞。 //内容来自安云网

趋势科技提醒所有支付宝用户,请务必检查自己是否仍在使用带有漏洞的Android手机支付宝,如未更新请尽快更新,并最好使用趋势科技移动安全个人版软件来进行安全防护。 //本文来自安云网

[via 趋势科技] //内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容