亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　最近，趨勢(shì)科技發(fā)現(xiàn)支付寶Android應(yīng)用程序上有兩個(gè)漏洞，可被攻擊者用來(lái)進(jìn)行網(wǎng)絡(luò)釣魚(yú)（Phishing）攻擊以竊取支付寶認(rèn)證信息。

　　第一個(gè)漏洞：輸出組件Activity

　　Android應(yīng)用程序有幾個(gè)重要的組件，其中之一是Activity（Activity是Android組件中最基本也是最為常見(jiàn)用的四大組件之一）。Activity有一個(gè)重要的屬性，android：exported。如果此屬性設(shè)定為「true」時(shí)，安裝在同一Android設(shè)備上的每個(gè)應(yīng)用程序都可以調(diào)用這個(gè)組件（Activity）。

　　趨勢(shì)科技發(fā)現(xiàn)支付寶的官方Android應(yīng)用程序存在此組件被攻擊的風(fēng)險(xiǎn)。支付寶錢(qián)包8.2版本程序的Activity組件部分，可被用來(lái)增加一個(gè)支付寶卡券歸集管理平臺(tái)（支付寶內(nèi)部命名為“AliPass”）。別有用心的人可以用此組件（Activity）來(lái)建立一個(gè)Alipass登錄顯示，用來(lái)將用戶引導(dǎo)到網(wǎng)絡(luò)釣魚(yú)（Phishing）網(wǎng)頁(yè)或顯示QR碼，然后使用者會(huì)被要求輸入支付寶解鎖密碼，讓使用者相信該登陸界面確實(shí)來(lái)自支付寶。

　　第二個(gè)漏洞：惡意的權(quán)限

　　在此攻擊中，惡意應(yīng)用程序在目標(biāo)應(yīng)用前安裝，取得目標(biāo)應(yīng)用程序的修改權(quán)限和能存取該權(quán)限所保護(hù)的組件。

　　支付寶應(yīng)用程序定義了權(quán)限com.alipay.mobile.push.permission.PUSHSERVICE來(lái)保護(hù)組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應(yīng)用程序利用該組件接收來(lái)自支付寶服務(wù)器的郵件，并發(fā)送通知用戶應(yīng)用程序有更新。當(dāng)有惡意應(yīng)用程序被給予PUSHSERVICE權(quán)限時(shí)，攻擊者可以輕易地制造假的程序，并將其送到RecvMsgIntentService以推送更新的方式通知用戶下載。

　　一旦用戶接受了更新，就會(huì)下載并安裝另一個(gè)惡意應(yīng)用程序。此程序可以劫持支付寶的快捷方式和啟動(dòng)偽支付寶應(yīng)用程序以取得支付寶用戶賬號(hào)信息。

　　趨勢(shì)科技已經(jīng)披露上述漏洞給支付寶，他們看到此問(wèn)題并已更新版本解決此漏洞，版本8.2以上的支付寶應(yīng)用程序已經(jīng)修復(fù)該漏洞。

　　趨勢(shì)科技提醒所有支付寶用戶，請(qǐng)務(wù)必檢查自己是否仍在使用帶有漏洞的Android手機(jī)支付寶，如未更新請(qǐng)盡快更新，并最好使用趨勢(shì)科技移動(dòng)安全個(gè)人版軟件來(lái)進(jìn)行安全防護(hù)。