iPhone URL Scheme漏洞可盗取支付密码

近期在网上有一段视频（http://v.qq.com/page/i/f/h/i0149uh43fh.html?_out=101）传播非常广泛，视频中在京东上购物再通过微信进行支付，可以看到iPhone6上输入微信支付密码同时，电脑页面可以直接窃取了手机上输入的支付密码。作者更是在视频开头就强调了手机为最新版iPhone且没有越狱，这是怎么做到的呢？这样的情况下，作为普通苹果手机用户我们又该怎么办？阿里钱盾针对这类风险特别推出最新钱盾更新，即将登录PP助手，全方面保卫苹果手机用户的隐私安全。

（微信支付，支付密码全被电脑截取）

在 iOS 中，一个应用可以将其自身”绑定”到一个自定义 URL Scheme 上，该 scheme 用于从浏览器或其他应用中启动该应用。如京东等都是以URLscheme来启动支付APP，分享APP等第三方应用。而其中的URLscheme若被恶意的病毒木马进行复制和利用，那京东购物之后就可能会启动病毒木马伪造的微信进行支付，而假的应用则可以非常方便地向黑客等传输隐私信息，如视频中的电脑记录手机中的输入数字一般。

（苹果手机京东购物启动真假支付应用的流程图）

针对这一风险，为更好保护苹果用户的重要隐私安全，阿里钱盾推出了最新版本，能够帮助用户查杀手机中存在URLscheme复制的应用，防止一些假冒应用或恶意应用通过URLscheme窃取用户隐私信息和资金，这一版本即将上线于PP助手。

（阿里钱盾查杀图）

针对这一风险，阿里钱盾提醒所有苹果手机用户：

1.  在官方或业界有名的应用市场（如PP助手）进行应用下载，此类应用市场可以防止手机被恶意应用感染。

2.  在涉及资金信息等重要隐私信息时，尽量采用支付宝等全额赔付的应用进行支付。

3.  下载阿里钱盾来进行URLscheme恶意应用进行查杀。