近期,趋势科技发现支付宝Android应用程序上有两个漏洞,可被攻击者用来进行网络钓鱼(Phishing)攻击以窃取支付宝认证信息。
第一个漏洞:输出组件Activity
Android应用程序有几个重要的组件,当中之中的一个是Activity(Activity是Android组件中最基本也是最为常见用的四大组件之中的一个)。
Activity有一个重要的属性,android:exported。假设此属性设定为「true」时,安装在同一Android设备上的每一个应用程序都能够调用这个组件(Activity)。
趋势科技发现支付宝的官方Android应用程序存在此组件被攻击的风险。支付宝钱包8.2版本号程序的Activity组件部分。可被用来添加一个支付宝卡券归集管理平台(支付宝内部命名为“AliPass”)。
别实用心的人能够用此组件(Activity)来建立一个Alipass登录显示,用来将用户引导到网络钓鱼(Phishing)网页或显示QR码,然后使用者会被要求输入支付宝解锁password,让使用者相信该登陆界面确实来自支付宝。
(图1、利用Activity所制作的钓鱼网址)
第二个漏洞:恶意的权限
在此攻击中,恶意应用程序在目标应用前安裝,取得目标应用程序的改动权限和能存取该权限所保护的组件。
支付宝应用程序定义了权限com.alipay.mobile.push.permission.PUSHSERVICE来保护组件com.alipay.mobile.push.integration.RecvMsgIntentService。
支付宝应用程序利用该组件接收来自支付宝server的邮件。并发送通知用户应用程序有更新。当有恶意应用程序被给予PUSHSERVICE权限时,攻击者能够轻易地制造假的程序,并将其送到RecvMsgIntentService以推送更新的方式通知用户下载。
(图2、攻击漏洞的測试通知)
(图3、要求安装恶意软件的通知。
)
一旦用户接受了更新,就会下载并安装还有一个恶意应用程序。
此程序能够劫持支付宝的快捷方式和启动伪支付宝应用程序以取得支付宝用户账号信息。
趋势科技已经披露上述漏洞给支付宝。他们看到此问题并已更新版本号解决此漏洞,版本号8.2以上的支付宝应用程序已经修复该漏洞。
趋势科技提醒全部支付宝用户,请务必检查自己是否仍在使用带有漏洞的Android手机支付宝,如未更新请尽快更新,并最好使用趋势科技移动安全个人版软件来进行安全防护。