漏洞标题 任何拥有服务权限的Android应用都可以轻松拦截支付宝支付密码 相关制造商 支付宝 漏洞作者 小小的爱B 提交时间 2016-04-01 09: 40 公共时间 2016-06-30 10: 10 漏洞类型 设计错误/逻辑缺陷 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 客户编程错误 漏洞详细信息 支付宝的安全键盘对辅助功能服务没有一定的保护,任何具有辅助功能的辅助功能服务,以及设置中的开放访问应用程序,如微信红包插件,都可能成为窃取支付宝支付密码的工具。 Android软件具有一种称为辅助功能的功能,可用于某些残障人士。例如,对讲应用程序由视力不佳的人使用。当它打开时,当手指触摸视图时,系统将会读出此视图的内容。 在春节期间,各种流行的微信红包插件使用这种可靠性服务来获取屏幕上的信息并自动获取红包。 虽然用户打开了此功能并打开了该功能,但提醒用户阅读信用卡信息。但是,作为与财产安全相关的应用程序,有必要保护此功能。 在这方面,微信和掌上生活做得很好,并为可行性服务做了一些保护。 但是,作为一家大工厂,支付宝显然没有这方面的意识。所谓的安全键盘几乎没用。
漏洞证明: 现在只需在logcat中打印密码,即可收集密码并将其上传到服务器。甚至是空的
视频地址:http://**。**。**。**/v_show/id_XMTUxOTA1NzM4OA==。html
修理计划: 您可以参考微信的保护措施来设置安全键盘。安全键盘的每个键都设置有自定义辅助功能委托。在这种情况下,任何具有辅助功能的应用程序都不会监视支付密码。
版权声明:请注明出处。小龙子喜欢安装B @乌云