|
最近,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。
第一个漏洞:输出组件Activity
Android应用程序有几个重要的组件,其中之一是Activity(Activity是Android组件中最基本也是最为常见用的四大组件之一)。Activity有一个重要的属性,android:exported。如果此属性设定为「true」时,安装在同一Android设备上的每个应用程序都可以调用这个组件(Activity)。
趋势科技发现支付宝的官方Android应用程序存在此组件被攻击的风险。支付宝钱包8.2版本程序的Activity组件部分,可被用来增加一个支付宝卡券归集管理平台(支付宝内部命名为“AliPass”)。别有用心的人可以用此组件(Activity)来建立一个Alipass登录显示,用来将用户引导到网络钓鱼(Phishing)网页或显示QR码,然后使用者会被要求输入支付宝解锁密码,让使用者相信该登陆界面确实来自支付宝。
(图1、利用Activity所制作的钓鱼网址)
第二个漏洞:恶意的权限
在此攻击中,恶意应用程序在目标应用前安裝,取得目标应用程序的修改权限和能存取该权限所保护的组件。
支付宝应用程序定义了权限com.alipay.mobile.push.permission.PUSHSERVICE来保护组件com.alipay.mobile.push.integration.RecvMsgIntentService。支付宝应用程序利用该组件接收来自支付宝服务器的邮件,并发送通知用户应用程序有更新。当有恶意应用程序被给予PUSHSERVICE权限时,攻击者可以轻易地制造假的程序,并将其送到RecvMsgIntentService以推送更新的方式通知用户下载。
(图2、攻击漏洞的测试通知)
(图3、要求安装恶意软件的通知。)
一旦用户接受了更新,就会下载并安装另一个恶意应用程序。此程序可以劫持支付宝的快捷方式和启动伪支付宝应用程序以取得支付宝用户账号信息。
趋势科技已经披露上述漏洞给支付宝,他们看到此问题并已更新版本解决此漏洞,版本8.2以上的支付宝应用程序已经修复该漏洞。
趋势科技提醒所有支付宝用户,请务必检查自己是否仍在使用带有漏洞的Android手机支付宝,如未更新请尽快更新,并最好使用趋势科技移动安全个人版软件来进行安全防护。
|
