大家怎么看支付宝 scheme 的 bug

这个太恶心了吧

看起来是自己做的一个白名单, 然后被爆了

这么爱国啊

绝大部分国产 app 估计都这德行

deeplink 打开 app 加载任意 web 页面, 通过支付宝内部已有的 JS bridge 查询数据或执行操作, 话说这些操作都不验证域名的吗? 谁来都可以调用自己 app 内部的方法?, 有点草台了..

基本操作，国产 app 都这样

https://ds.alipay.com/?scheme=alipays://platformapi/startapp?appId=20000067&url=xx 怪不得信息泄露这么严重, 日常支付就是支付宝, 哈哈哈

不知道微信有没有这样的漏洞

忘记乌云是怎么没的了？

不奇怪，而且你拿他没办法，之前 PDD 专门搞漏洞也没后文，大企业就是这样

这个不是水过了
t/1198173

得问摩萨德

自己抓包看了一下，还会扫 wifi 、蓝牙，mac 地址和设备名也会上报...

ChangeQuickRedirect 不是美团的热更新框架 Robust 嘛

可怕

我用 pixel ，装的 play 版的，看了下权限只有位置，相机，音乐音频，照片和视频，其他都是拒绝的

阿里反手就是：破坏计算机信息系统罪 把你送走信不信

这是木马啦

只要不鸡儿扫码就影响不大

看了下，大部分都可以归为安全漏洞一类，然后最后一项确实很讨厌，这个也就是常说的热更新，并不是什么新鲜玩意。
从行文语气和用词来看，作者不像搞应用开发的，因为很多东西都有成熟的术语，但是作者用了挺拗口的表达。
至于 alipay 官方是蠢还是坏，都有吧，蠢这部分是全世界全行业都有的，漏洞嘛。坏我也不能说是国内特色，不然要被质疑站队了

@rb6221 看了下评论，这个算比较中肯的。

但是吧。。。
。。。你说这事很大这事很特色这事很国产吧
阿美的 cve 也是只说提交但是没看见号，全球的金融机构也是只启动调查没有下文。。。

这好多 bro 开的香槟感觉简直和气急败坏是一个意思。。。

利好各类第三方的支付宝扫码/小程序/跳转支付场景，可以狠狠地拿用户信息/掺杂灰产了
有一说一，就我个人体验而言，微信在扫码/小程序这方面的安全控制做得比支付宝好太多了，所以我前段时间把所有的小程序从支付宝都迁移到微信了

在 iOS 上继续用，反正是国内的手机号，这些又不能不用

我冻结所有的国产 app ，除了系统 app 和微信以外，希望微信没这种情况。不过，话说支付宝 play 版，应该不允许这些吧

怪不得支付宝支付越做越烂，开个屏要等半天，首页加载一堆垃圾，被微信支付抢占市场是应该的。

苹果之前不是对热更新嗤之以鼻吗，为什么现在 APP 搞得跟网页一样全是动态执行苹果也不嗷两下子

看到这种浓浓 AI 文章推荐直接关掉
你要浪费大量时间来调查和判断里面的每个细节，结果发现最终发现是哗众取宠

上报不意外，之前抓包就发展有一堆无关请求

我在 play 版本，并没有需要很多权限啊

@rev0 这是基础，很多年前电脑上的国产软件就扫描 TCP 连接信息上报了

你作为国内的一员，唯一办法就是不用它，其他都是无用。

拼多多的事更严重不也没后续吗..拼多多安卓 app 利用 0day 漏洞控制用户手机及窃取数据.. 真悲哀

过去吹支付宝安全的到这里集合话说中国人特别喜欢吹嘘，但自己本身既没有参与其中也不对此负责，纯局外人，最后打了自己的脸

看了 github 上的 shell 脚本，就 apk 解包，找 jsapi 这个关键字符串，还有 dex 文件的 MD5 hash 对比? 这个 OP 不是来自推的？

@Cusmate 肯定不是啊，拿来当乐子看了。