重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险
重要:部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险原理:部分应用内置支付宝支付组件,可在用户无支付宝App环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付漏洞级别:重要[需要用户注意]漏洞利用难度:一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险]注意:由于国内隐私问题,大量公民个人信息泄露,攻击者非常容易凑齐大量公民的手机号码,户主名称以及身份证号码,加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码,攻击者非常容易实现批量碰撞盗刷由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内,但每次付款仍然需要输入支付密码,但更改支付密码并不能将所有设备踢出支付状态。攻击者在获取登录状态过后,可持续性的查看账号内的金额,绑定卡片等一系列私密信息处置建议:更改自己支付宝支付密码,尽量不要使其与自己身份产生关联,采用随机六位数字,避免使用生日等重要日期,开启支付宝通知权限,及时获取支付消息,确保每一笔支付由本人支付注意:由于支付宝存在安全支付风控措施,所以攻击者只能尝试进行小额支付,用户需注意自己账户是否出现密集的小额扣款及未知小额扣款