这是一个创建于 140 天前的主题,其中的信息可能已经有所发展或是发生改变。
受害者链接: https://zhuanlan.zhihu.com/p/625230704
复现视频: https://drive.google.com/file/d/1EiWOBWf6Uo3qp7eoKIVGGNUz8YhLbQQT/view?usp=share_link
来自网友的问题分析:
在官方修复前(距问题发现已一周多),目前能想到的缓解措施如下:
- 避免扫难以确认安全性的二维码,尤其是在网购交易过程中
- 关闭人脸支付,避免扫到问题二维码后,无交互式的直接确认了
- 关闭小额免密支付
 |
1
jucelin 139 天前  1
|
 |
2
bGl2aWRubXNs 139 天前
太可怕了
|
 |
3
linauror 139 天前
最重要的还是不要点开或扫描别人发来的任何链接、图片
|
 |
4
SelectLanguages 139 天前
由此引出另一个话题“这应该算通过支付宝漏洞偷钱吧?支付宝应该会赔付的。”支付宝对此需要负责吗?
另外提一嘴,现在收货无论是否咸鱼,淘宝,京东,都不需要输入密码了,在流程没问题的情况下这是安全的。 |
 |
5
Ritter 139 天前
这算是 csrf 么
|
 |
6
LiuJiang 139 天前
这不得申请支付宝赔偿,hhhh ,牛批,设计缺陷
|
 |
7
banliyaya 139 天前
@SelectLanguages ios 淘宝我记得确认收货是需要过 faceid 的,如果我没有设置 faceid 支付,应该就是要输入密码
|
 |
9
woshipanghu 139 天前
程序的逻辑也存在一定的问题,订单号对应的金额和支付的金额不一样 怎么就随便能返回到前端去了
|
 |
10
bigtan 139 天前
蹲一个后续 这应该算是支付宝的严重漏洞了
|
|
11
SelectLanguages 139 天前
@banliyaya 并不需要,你可以尝试一下最新版淘宝 10.23.20(ios 版),刚才试了下,点击收货就行了,不需要密码 or 人脸。
|
 |
12
autoxbc 139 天前
这视频录的也是醉了,360P 这谁能看清
|
 |
13
boboliu 139 天前 2
|
 |
14
pkoukk 139 天前 2
很多人没有看懂是什么意思,是这样的:
你扫了码,页面上写着 1 分钱保价 你点击了支付,弹出支付宝组件,输入密码确认 实际发生的: 你点击支付,骗子的网站用 JSB 调用确认收货接口,支付宝弹出组件,需要密码验证,你输入密码验证 实际上你根本没有被扣 1 分钱或者 1 块钱,钱只是用来麻痹你,让你觉得输入密码是正常行为的操作 你输入的密码,实际上是确认收货用的 |
Select Language