点击关注南阳电脑网官方微博 首页 | 产品报价 全国行情南阳电脑网 | 模拟攒机 名店展示 公司查询 | 资讯中心 人物访谈 招聘信息 二手信息 | 操作系统 软件资讯 信息安全 电脑讲堂 电脑论坛
南阳电脑网
当前位置:南阳电脑网 > 信息安全 > iOS爆系统特大漏洞 诸多帐号密码均可被劫持

iOS爆系统特大漏洞 诸多帐号密码均可被劫持

时间: 2015-03-25 12:30 来源: 互联网综合 作者: Uncertain 点击:

  iOS 越狱可能会导致一系列的安全隐患,但是现在没有越狱的 iOS 也不够安全了。乌云网 漏洞平台上以为 ID 为蒸米的用户发表文章称系统级 URL Scheme 设计漏洞,利用整个漏洞可以在没有越狱且运行最新 iOS8.2 系统上劫持微信、支付宝、京东、美团等客户端的帐号密码,文章中还进行了利用该漏洞劫持微信、支付宝密码的视频演示。

ios漏洞

  文章介绍该漏洞是 iOS 系统漏洞,和支付宝、微信等 app 无关,其他应用同样会受到影响。

  漏洞原因:iOS 的一个应用可以将其自身”绑定”到一个自定义 URL Scheme 上,该 scheme 用于 从浏览器或其他应用中启动该应用,iOS 官方说明中仅注明系统程序的优先级高于第三方程序,但是同一种 URL Scheme 的第三方程序的优先级则没有加以限制。具体使用中第三方程序的优先级受到 Bundle ID 的影响,黑客可以构造 Bundle ID 来劫持 IOS 系统调用相关的 app 去处理使用 URL Scheme 的请求。

  

  在视频演示中,安装的 FakeAlipay 应用伪装成支付宝,通过 URL Scheme 劫持了美团与支付宝之间的支付流程,在用户毫无意识的情况下获取了用户的帐号和支付密码,并完成了支付。在这个过程中支付过程完全被控制,黑客甚至可以在替换订单之后仍可完成支付。

  在使用微信支付时过程相似,不同的是微信需要手动输入 6 位数的支付密码,但通过伪造登陆界面,同样能获取到微信的帐号密码。

  这个漏洞除了可以被第三方市场安装的 APP 利用,由于苹果在这方面的审核并不严格,在 Appstore 上的应用也会被劫持。第二段视频便演示了 Google Chrome 的 URL Scheme 被一个名为 BASCOM Browser 的软件劫持的情形,该软件是通过 Appstore 下载。

  最后文章提出了解决方法,苹果可以通过限制 Bundle ID 的滥用来保证 URL Scheme 的安全,而第三方软件则需要通过增加安全检测来防止自身的 URL Scheme 被劫持。

  iOS 的安全神话已经被打破,但由于 iOS 的封闭,安全工作主要还需要苹果来完成,第三方的 iOS 安全软件也面临着升级,用户在使用过程中更要提高警惕,保护自身的财产安全。


贴士:购买电脑过程中提及"中关村在线南阳站"或"南阳电脑网"的网友均可享受优惠!电脑网官方QQ群:27686868
本文关键字: 微信 支付宝 IOS漏洞
本类推荐内容
反钓鱼联盟:已处理钓鱼网站超10万 形势不容乐观

12月5日,中国反钓鱼网站联盟(APAC)召开年会。作为联盟秘书处机构,CNNIC发布了《20...

“掠夺者”日盗QQ号40万 被盗QQ被剥“六层皮”

[扬子晚报]掠夺者,一个令人发憷的名字。日前常州市公安局破获了一起特大木马盗号案,...

AVAR2012大会顺利开幕,腾讯不负重托履行使命

2012年11月12日,亚洲反病毒大会(AVAR2012)于杭州西子湖畔 盛大 开幕,本次盛会已经举...

微软Windows 8挫败85%的恶意软件攻击

11月10日消息,据国外媒体报道,在安全性能方面,Windows 8及微软所采取的新措施效果...

新型钓鱼颠覆传统欺诈 专家三招识破骗术

近日,瑞星互联网攻防实验室的安全专家发现一种前所未有的新型钓鱼手法开始在互联网中...

研究:所有版本Android均存在短信欺诈漏洞

11月5日消息,据国外媒体报道,北卡罗来纳州大学(NCSU)的研究员们在Android Open So...