查看: 3693|回复: 0
收起左侧

[分享] 趋势发现支付宝安卓版漏洞 建议尽快更新至最新版

[复制链接]
Sammi888
发表于 2014-8-22 16:22:04 | 显示全部楼层 |阅读模式

最近,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。
第一个漏洞:输出组件Activity
Android应用程序有几个重要的组件,其中之一是Activity(Activity是Android组件中最基本也是最为常见用的四大组件之一)。Activity有一个重要的属性,android:exported。如果此属性设定为「true」时,安装在同一Android设备上的每个应用程序都可以调用这个组件(Activity)。
趋势科技发现支付宝的官方Android应用程序存在此组件被攻击的风险。支付宝钱包8.2版本程序的Activity组件部分,可被用来增加一个支付宝卡券归集管理平台(支付宝内部命名为“AliPass”)。别有用心的人可以用此组件(Activity)来建立一个Alipass登录显示,用来将用户引导到网络钓鱼(Phishing)网页或显示QR码,然后使用者会被要求输入支付宝解锁密码,让使用者相信该登陆界面确实来自支付宝。

(图1、利用Activity所制作的钓鱼网址)
第二个漏洞:恶意的权限
在此攻击中,恶意应用程序在目标应用前安裝,取得目标应用程序的修改权限和能存取该权限所保护的组件。
支付宝应用程序定义了权限com.alipay.mobile.push.permission.PUSHSERVICE来保护组件com.alipay.mobile.push.integration.RecvMsgIntentService。支付宝应用程序利用该组件接收来自支付宝服务器的邮件,并发送通知用户应用程序有更新。当有恶意应用程序被给予PUSHSERVICE权限时,攻击者可以轻易地制造假的程序,并将其送到RecvMsgIntentService以推送更新的方式通知用户下载。

(图2、攻击漏洞的测试通知)


(图3、要求安装恶意软件的通知。)
一旦用户接受了更新,就会下载并安装另一个恶意应用程序。此程序可以劫持支付宝的快捷方式和启动伪支付宝应用程序以取得支付宝用户账号信息。
趋势科技已经披露上述漏洞给支付宝,他们看到此问题并已更新版本解决此漏洞,版本8.2以上的支付宝应用程序已经修复该漏洞。
趋势科技提醒所有支付宝用户,请务必检查自己是否仍在使用带有漏洞的Android手机支付宝,如未更新请尽快更新,并最好使用趋势科技移动安全个人版软件来进行安全防护。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
尘梦幽然 + 1 大趋势给力!

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 18:25 , Processed in 0.127525 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表