在生活和工作中,电脑和手机已成为不可或缺的必备工具,关于电脑和手机上的一些程序很多小伙伴经常都会遇到一些疑难杂症,关于大家提到的关于iPhone苹果手机微信支付、支付宝安全漏洞保护解决操作流程这方面的问题,小编整理了一些相关的讯息。
iPhone苹果手机微信支付、支付宝安全漏洞保护解决方法。昨天在乌云平台发布了一篇漏洞报告文章,指出iOS系统无论越狱与否,都存在一个重大安全隐患。现在都开始觉得未越狱的苹果手机也不安全了。那要怎么办呢?下文就让小编跟大家讲讲微信支付、支付宝安全漏洞保护解决方法。
微信支付、支付宝安全漏洞原理:在iOS上,一个应用可以将其自身“绑定”到一个自定义URL Scheme上,该scheme用于从浏览器或其他应用中启动该应用。如果是有用过《Launch Center Pro》和《Workflow》这类App的朋友,应该多少明白URLScheme的原理。
在正常的支付流程中,某个App(视频上是美团)首先将订单信息通过URL Scheme发送给支付宝(Alipay),支付宝收到订单信息,调用支付界面,用户在支付宝上完成支付后,支付宝再发送一个URL Scheme给美团,美团收到付款信息后,显示团购成功的界面。
在iOS系统中,多个应用程序注册了同一种URLScheme的时候,iOS系统程序的优先级高于第三方开发程序。但是一种URLScheme的注册应用程序都属于第三方开发,那么它们之间就没有优先级了。作者经过测试,证明系统判定优先级顺序与Bundle ID有关(一个Bundle ID对应一个应用),如果有人精心伪造Bundle ID,iOS就会调用我们App的URL Scheme去接收相应的URL Scheme请求。
劫持过程:
演示视频中“伪装”成支付宝的“FakeAlipay”,在收到美团发来的订单信息后,生成了一个和支付宝一样的登陆界面,用户在输入帐号密码后FakeAlipay会把帐号密码以及订单信息发送到黑客的服务器上,黑客获得这些信息后可以在自己的iOS设备上完成支付,并把支付成功的URL Scheme信息发回给FakeAlipay,FakeAlipay再把支付成功的URL Scheme信息转发给美团。这样就完成了一次被劫持的支付。
作者建议:(参考乌云原文及视频介绍)
作者在文章中表示该漏洞利用简单,修复却非常复杂,所以在iOS8.2上还是未能修复。但他还是提出了几点建议让开发者参考:
1.苹果可以限制iOS应用不能注册别的应用的BundleID作为URLScheme。这样的话,使用自己的BundleID作为URLScheme的接收器就会变的安全很多。
2.第三方应用可以通过①给自己发送URLScheme请求来证明没有被劫持,如果没有收到自己的URLScheme,就可以及时给用户发送提醒;②利用MobileCoreServices服务中的applicationsAvailableForHandlingURLScheme()来查看所有注册了该URLSchemes的应用和处理顺序,从而检测自己、或者别人的URLScheme是否被劫持。
果粉们只能等待官方新出的版本,更新BUG。
小编整理的关于iPhone苹果手机微信支付、支付宝安全漏洞保护解决操作流程这方面的讯息,希望对你有所帮助。