一、漏洞复现
昨天晚上,刷到一个支付宝漏洞的帖子,
作者的攻击方式公布的很详细,
而且“贴心”的准备了演示页面,
可以一键测试,
简单一点说,这个攻击不是说能够直接把你的钱取走,
而是当你点击一个链接,攻击者就能得到一些你的一些支付宝信息,
我们用安卓手机测试了一下,比较重要的信息有这些(附图片):
1.手机型号(手机指纹)
没错只有这一个,哈哈,
gps也是比较重要的信息,但应该是被修复了,没有显示,
而且现在的安卓手机一般都是默认不给GPS权限,
基本上他也想获取也很难获取到了。
苹果我这边没有复现,但根据作者说的,
定位窃取会更容易,其他的和安卓半斤八两。
还有作者重点强调了“零交互 攻击链”
简单点说,就是你点击一个链接,再点确定打开支付宝,
他就能跳转到支付宝一个固定页面,
比如跳到,转账记录,余额宝余额,生活缴费等
看完这个,你应该对这个漏洞有个大概的了解,
嗯,基本你可以做出自己的判断了,
如果你支持这个算是高危漏洞,那你就是和漏洞作者判断一致。
如果认为这不算大漏洞,算是正常功能,那你和支付宝的安全团队一个立场。
简单复盘一下,就是漏洞作者发现该问题,反馈给支付宝安全团队,
安全团队了解后认为是正常功能,不是漏洞,作者不服气,
于是把这个问题公开在互联网上,并向一些机构进行了举报,
从这个举报的内容来看,目前只是调查阶段,并没有什么实际的进展,
也许我们应该让子弹再飞一会。
二、这种漏洞为什么会产生争议?
其实这种漏洞在安全圈并不少见。 很多时候,安全研究员认为是漏洞,而厂商认为是“正常功能设计”
比如25年三月份的ESP32乐鑫 芯片存在“后门”事件,也是类似的争议。
当时有安全研究员认为芯片中存在隐藏调试接口,可能被利用为后门,但厂商解释这是正常的调试功能。
很多安全争议,本质是:
- 安全研究员视角: 只要能获取用户信息 → 就是安全问题,
- 厂商视角: 这是产品功能的一部分,
举例:
- deeplink 跳转,
- app schema,
- webview 信息获取,
其实很多 超级 App 都有这种能力。
从安全研究员角度,这是“攻击链”; 从产品经理角度,这只是“功能联动”。
三、“零交互攻击链”真的那么可怕吗
所谓 零交互攻击链,实际上还是需要:
1️⃣ 用户点击链接, 2️⃣ 用户确认打开支付宝, 3️⃣ 跳转到特定页面,
这其实已经有 2次用户操作。
所以安全圈会出现两种观点:
激进派
- 只要用户点一次链接,
- 就能触发 APP 行为,
- 就应该算漏洞,
保守派
- 用户已经确认打开 APP,
- 这是用户授权行为,
- 不能算漏洞,
这类争议在安全圈其实挺常见的。
四、安全研究员与厂商的“爱恨情仇”
安全圈其实一直有一种微妙关系:
安全研究员希望:
- 发现漏洞,
- 提交漏洞,
- 获得奖励,
- 提升名气,
厂商希望:
- 系统安全,
- 但不要被误报漏洞,
- 不要被公开“打脸”,
于是就会出现三种经典剧情,
剧情一:厂商秒修
研究员提交漏洞 → 厂商确认 → 修复 → 发奖金。
皆大欢喜。
剧情二:厂商认为不是漏洞
厂商:
这是正常功能。
研究员:
这是安全问题。
然后双方开始 battle。
剧情三:漏洞直接被公开
如果双方谈不拢,就会出现:
- 公开漏洞,
- 发博客,
- 发 PoC,
- 甚至举报监管机构,
这次支付宝事件,其实就有一点这个味道。
我想说,对于我们普通用户,其实不用太焦虑,
其实从目前公开的信息来看:
没有资金被盗,
没有远程控制,
主要是信息获取,
以及页面跳转,
所以我们作为普通用户:
✔ 不乱点链接
✔ 不给奇怪权限
✔ 注意钓鱼页面
基本就足够了。
在安全圈里,有一句老话:
“没有绝对安全的系统,只有还没被发现的问题。”
这次支付宝的事件到底算不算漏洞,可能还需要时间来判断。
但有一点是确定的——
安全研究员和厂商之间的故事,大概永远都不会结束。
感谢看完,如果觉得这篇“文章”对你有帮助,随手点个赞、在看、转发三连吧。
如果想第一时间看到我的文章,也可以给我个星标* ⭐*。
当您发现文章有错误,欢迎您在评论区指出,或者私下联系我,
~~谢谢你看我的文章,我们,下期再见。
