趨勢科技發現支付寶安卓版漏洞
責編:admin |2014-08-25 12:10:07最近,趨勢科技發現支付寶Android應用程序上有兩個漏洞,可被攻擊者用來進行網絡釣魚(Phishing)攻擊以竊取支付寶認證信息。
第一個漏洞:輸出組件Activity
Android應用程序有幾個重要的組件,其中之一是Activity(Activity是Android組件中最基本也是最為常見用的四大組件之一)。Activity有一個重要的屬性,android:exported。如果此屬性設定為「true」時,安裝在同一Android設備上的每個應用程序都可以調用這個組件(Activity)。
趨勢科技發現支付寶的官方Android應用程序存在此組件被攻擊的風險。支付寶錢包8.2版本程序的Activity組件部分,可被用來增加一個支付寶卡券歸集管理平臺(支付寶內部命名為“AliPass”)。別有用心的人可以用此組件(Activity)來建立一個Alipass登錄顯示,用來將用戶引導到網絡釣魚(Phishing)網頁或顯示QR碼,然后使用者會被要求輸入支付寶解鎖密碼,讓使用者相信該登陸界面確實來自支付寶。
第二個漏洞:惡意的權限
在此攻擊中,惡意應用程序在目標應用前安裝,取得目標應用程序的修改權限和能存取該權限所保護的組件。
支付寶應用程序定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程序利用該組件接收來自支付寶服務器的郵件,并發送通知用戶應用程序有更新。當有惡意應用程序被給予PUSHSERVICE權限時,攻擊者可以輕易地制造假的程序,并將其送到RecvMsgIntentService以推送更新的方式通知用戶下載。
一旦用戶接受了更新,就會下載并安裝另一個惡意應用程序。此程序可以劫持支付寶的快捷方式和啟動偽支付寶應用程序以取得支付寶用戶賬號信息。
趨勢科技已經披露上述漏洞給支付寶,他們看到此問題并已更新版本解決此漏洞,版本8.2以上的支付寶應用程序已經修復該漏洞。
趨勢科技提醒所有支付寶用戶,請務必檢查自己是否仍在使用帶有漏洞的Android手機支付寶,如未更新請盡快更新,并最好使用趨勢科技移動安全個人版軟件來進行安全防護。