什么?未越狱设备也会泄露支付宝密码?

乌云网消息,称未越狱的设备也可能泄露支付宝密码。这一切都源于一个 iOS 对 URL Scheme 注册限制的漏洞。

在 iOS 上,一个应用可以将其自身”绑定”到一个自定义 URL Scheme 上,该 scheme 用于 从浏览器或其他应用中启动该应用。这个设计非常类似于 android 上的 broadcast 和 broadcast receiver,但远远没有 android 上的复杂。美团利用支付宝付款的整个过程如图一所示:美团 首先将订单信息通过 URL Scheme 发送给 Alipay,Alipay 收到订单信息,调用支付界面,用户 在 Alipay 上完成支付后,Alipay 再发送一个 URL Scheme 给美团,美团收到付款信息后,显 示团购成功的界面。

—- 乌云网

简单说来就是苹果没有限制多个 App 使用同一个 URL Scheme 的情况,导致第三方软件从中间劫持了支付过程(alipay://),借助一个伪装的支付宝界面骗取了用户名密码。

通过 App Store 分发的软件都有一个唯一的 Bundle ID,不知道为什么苹果没让 URL Scheme 也唯一。不过,你从 App Store 里下载到此类应用的可能性非常低,毕竟有那么多审核流程放在放在那里。

真正值得担心的是那些通过各种助手安装应用的人们。

助手老师们通过企业分发渠道分发软件,虽然也有审核的过程,但是专业性大打折扣,极有可能有漏网之鱼。而且,企业证书能够自动部署应用,难说哪天你手机上就默默装上了恶意应用。(注:此处有误,企业证书分发不会自动安装应用,但是能够安装未经苹果审核的应用。此方法近期受到了苹果严格管控。)