原理:部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付
影响范围:理论上在5月23日前发布的各类集成支付宝SDK的客户端均能复现此过程
在此要提醒的是,鉴于目前国内隐私信息泄露严重,通过泄露数据获得你的身份证号轻而易举,因此,将生日设为支付密码的要格外注意,为保证安全建议立即更改
如果已经发生此类情况,请立即修改支付宝登陆密码和支付密码,修改登录密码的原因是对面已经登录你的账户,cookie信息会进行储存,仅更改支付密码无法更改cookie,对面依然登录着你的账户,因此一定要记住,登陆密码也要修改
影响范围:理论上在5月23日前发布的各类集成支付宝SDK的客户端均能复现此过程
在此要提醒的是,鉴于目前国内隐私信息泄露严重,通过泄露数据获得你的身份证号轻而易举,因此,将生日设为支付密码的要格外注意,为保证安全建议立即更改
如果已经发生此类情况,请立即修改支付宝登陆密码和支付密码,修改登录密码的原因是对面已经登录你的账户,cookie信息会进行储存,仅更改支付密码无法更改cookie,对面依然登录着你的账户,因此一定要记住,登陆密码也要修改