摸鱼刷微信的时候看到的,大家怎么看。
原文: https://innora.ai/zfb/regulatory-complaint.html
代码解析: https://github.com/sgInnora/alipay-securityguard-analysis
 |
1
7gugu 3 天前
这个太恶心了吧
|
 |
2
tanxnative 3 天前
看起来是自己做的一个白名单, 然后被爆了
|
 |
3
strobber16 3 天前
这么爱国啊
|
 |
4
Cooky 3 天前 via Android
绝大部分国产 app 估计都这德行
|
 |
5
mcluyu 3 天前
deeplink 打开 app 加载任意 web 页面, 通过支付宝内部已有的 JS bridge 查询数据或执行操作, 话说这些操作都不验证域名的吗? 谁来都可以调用自己 app 内部的方法?, 有点草台了..
|
 |
6
labubu 3 天前
基本操作,国产 app 都这样
 |
 |
7
qiqw 3 天前
https://ds.alipay.com/?scheme=alipays://platformapi/startapp?appId=20000067&url=xx 怪不得信息泄露这么严重, 日常支付就是支付宝, 哈哈哈
|
|
8
qiqw 3 天前
不知道微信有没有这样的漏洞
|
 |
9
Rickkkkkkk 3 天前
忘记乌云是怎么没的了?
|
 |
10
Shaar 3 天前
不奇怪,而且你拿他没办法,之前 PDD 专门搞漏洞也没后文,大企业就是这样
|
 |
11
psllll 3 天前  1
|
 |
12
shimanooo 3 天前
得问摩萨德
|
 |
13
rev0 3 天前
自己抓包看了一下,还会扫 wifi 、蓝牙,mac 地址和设备名也会上报...
|
 |
14
bkmi 3 天前 via Android
ChangeQuickRedirect 不是美团的热更新框架 Robust 嘛
|
 |
15
hua7328wang 3 天前 via iPhone
可怕
|
 |
16
Peek 3 天前
我用 pixel ,装的 play 版的,看了下权限只有位置,相机,音乐音频,照片和视频,其他都是拒绝的
|
 |
17
crime1024 3 天前
阿里反手就是:破坏计算机信息系统罪 把你送走信不信
|
 |
18
jocover 3 天前
这是木马啦
|
 |
19
bitkuang 3 天前 via Android
只要不鸡儿扫码就影响不大
|
 |
20
rb6221 3 天前
看了下,大部分都可以归为安全漏洞一类,然后最后一项确实很讨厌,这个也就是常说的热更新,并不是什么新鲜玩意。
从行文语气和用词来看,作者不像搞应用开发的,因为很多东西都有成熟的术语,但是作者用了挺拗口的表达。 至于 alipay 官方是蠢还是坏,都有吧,蠢这部分是全世界全行业都有的,漏洞嘛。坏我也不能说是国内特色,不然要被质疑站队了 |
 |
22
ntedshen 3 天前 3
但是吧。。。
。。。你说这事很大这事很特色这事很国产吧 阿美的 cve 也是只说提交但是没看见号,全球的金融机构也是只启动调查没有下文。。。 这好多 bro 开的香槟感觉简直和气急败坏是一个意思。。。 |
 |
23
Hypixel 3 天前 via Android
利好各类第三方的支付宝扫码/小程序/跳转支付场景,可以狠狠地拿用户信息/掺杂灰产了
有一说一,就我个人体验而言,微信在扫码/小程序这方面的安全控制做得比支付宝好太多了,所以我前段时间把所有的小程序从支付宝都迁移到微信了 |
 |
24
liuxue 3 天前
在 iOS 上继续用,反正是国内的手机号,这些又不能不用
|
 |
25
zachary99 3 天前 via Android
我冻结所有的国产 app ,除了系统 app 和微信以外,希望微信没这种情况。不过,话说支付宝 play 版,应该不允许这些吧
|
 |
26
wbrobot 3 天前
怪不得支付宝支付越做越烂,开个屏要等半天,首页加载一堆垃圾,被微信支付抢占市场是应该的。
|
 |
27
anivie 3 天前
苹果之前不是对热更新嗤之以鼻吗,为什么现在 APP 搞得跟网页一样全是动态执行苹果也不嗷两下子
 |
 |
28
icyalala 3 天前 3
看到这种浓浓 AI 文章推荐直接关掉
你要浪费大量时间来调查和判断里面的每个细节,结果发现最终发现是哗众取宠 |
 |
29
docx 3 天前 via iPhone
上报不意外,之前抓包就发展有一堆无关请求
|
 |
30
osilinka 3 天前
我在 play 版本,并没有需要很多权限啊
|
 |
32
bk201 2 天前
你作为国内的一员,唯一办法就是不用它,其他都是无用。
|
 |
33
5800X3D 2 天前
拼多多的事更严重不也没后续吗..拼多多安卓 app 利用 0day 漏洞控制用户手机及窃取数据.. 真悲哀
 |
 |
34
hengxiangbianhua 2 天前 via Android
过去吹支付宝安全的到这里集合🤣话说中国人特别喜欢吹嘘,但自己本身既没有参与其中也不对此负责,纯局外人,最后打了自己的脸
|
 |
35
Cusmate 2 天前
看了 github 上的 shell 脚本,就 apk 解包,找 jsapi 这个关键字符串,还有 dex 文件的 MD5 hash 对比? 这个 OP 不是来自推的?
|
Select Language