支付寶是中國主流的第三方支付平台,來自中國最大的網路公司 – 阿里巴巴。趨勢科技最近發現他們的Android應用程式上有兩個漏洞可被攻擊者用來進行網路釣魚(Phishing)攻擊以竊取支付寶認證。
第一個漏洞:輸出活動
Android應用程式有幾個重要的部分,其中之一是活動(Activity)。這有一個重要的屬性,android:exported。如果此屬性設定為「true」時,安裝在同一設備上的每個應用程式都可以調用這個活動(Activity)。開發者應該要小心,讓自己輸出的活動(Activity)不被濫用。
趨勢科技發現支付寶的官方Android應用程式正有此種漏洞。這特定活動(Activity)可被用來增加一個支付寶護照(稱為Alipass)。使用一特別建立Alipass的攻擊者可以用此活動(Activity)來建立一個Alipass登錄顯示。這可以用來將使用者導到網路釣魚(Phishing)網頁或顯示QR碼。在該活動(Activity)啟動前,使用者會被要求輸入支付寶解鎖密碼,這讓使用者相信該登錄畫面確實來自支付寶。
圖1、活動(Activity)所提供的網路釣魚網址
第二個漏洞:惡意的權限
前面我們討論過如何透過權限搶佔來取得權限。在此攻擊中,惡意應用程式在目標應用程式前安裝,取得目標應用程式的客製化權限和能存取該權限所保護的組件。
支付寶應用程式定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程式利用該組件接收來自支付寶伺服器的郵件。一種訊息是通知使用者應用程式有更新可用。
當一個惡意應用程式被給予PUSHSERVICE權限,攻擊者可以輕易地假造此一訊息,並將其送到RecvMsgIntentService以推送更新通知給使用者。
圖2、攻擊漏洞的測試通知
圖3、要求安裝惡意程式的通知。
一旦使用者接受了更新,就會下載和安裝另一個應用程式。這下載應用程式的網址也是經由攻擊者控制。結合最近所發現的Android啟動漏洞,可以劫持支付寶的捷徑和啟動偽支付寶應用程式以取得使用者帳號。
Android的輸出活動(Activity)並非最後一個被認為有安全隱憂的作業系統功能。像 iOS 涉嫌含有後門 – 後來說這只是個診斷工具。不管是真是假,如果開發者不用安全的方式使用,這些行動作業系統功能都可能成為一種安全威脅。
趨勢科技已經披露上述漏洞給支付寶;他們承認有此問題並提供更新給他們的使用者以解決此漏洞。版本8.2以及更新的支付寶應用程式不再含有此漏洞。我們敦促支付寶應用程式的所有使用者都檢查自己是否仍然使用有漏洞的版本,並更新到最新版本(如果需要的話)。
@原文出處:Vulnerabilities in Alipay Android App Fixed作者:Weichao Sun(行動威脅分析師)
