一段代码让网站访客领取你的支付宝红包

一段代码让网站访客领取你的支付宝红包

前言:

        在马云对支付宝红包活动持续砸钱后,这个活动在某些恶人的催化之后,传播红包的方法也是各种恶心到底线:群发口令或者自动跳转链接(这种恶性跳转,甚至被腾讯玄武实验室单独提出,命名为“应用克隆”漏洞,详情介绍请看这篇FreeBuf:应用克隆,从支付宝自动领红包链接谈起),以及之前新闻报道的小区/校园附近基站发送红包广告短信

然后就在这几天,这些恶人又想到一种新的传播方式:在用户不经意间修改手机用户的粘贴板信息为红包代码:

 

 

 这两图,是分别为IOS系统和安卓系统的中招结果

 起初,认为是在访问网站时,被JS篡改了粘贴板内容。带着好奇心,百度了相关JS用法,写出了如下能到达类似功能的JS代码

<script src="https://cdn.bootcss.com/clipboard.js/1.7.1/clipboard.min.js"></script>
 <script>
 var clipboard = new Clipboard('.hongbao', {
 text: function () {
 // 将自己的红包口令放入单引号内
 return 'IkL1qo28Iu';
 }
 });
 </script>

注意:这段代码,还需在网页上找一个点击率比较高的<button>标签,在其上添加一个class=”hongbao”属性即可

但是预计的效果是:进入网站就得实现,自动修改粘贴板内容。这段代码得依靠个点击事件。在网上的文献资料,都是得依靠一个点击事件,才可以触发。这就很奇怪,可以加个.click来实现模拟点击触发吗?

结果不如人意:

可以看到,模拟点击效果能把简单的alert弹窗运作,但是复制到粘贴板的操作无法运行…..emmm….

再百度总结出如下:

网页JS是做不出自动修改用户粘贴板内容的操作,这里 JS存在一个权限问题,用户的粘贴板区域属于敏感区,想要修改这里,必须引导用户来完成一个点击事件,才可以对粘贴板修改

当然你也可以伪造出各种div层,诱导用户做出一个神不知鬼不觉的点击事件,在这个点击事件上做出相应的触发事件

但是,这样还是没找到粘贴板被置入红包代码的最终元凶。。。

问题既然不是出在网页,那可能在软件APP上或者网络DNS被劫持(这里对劫持知识了解的过少,不知道能不能实现),然后就在昨晚在翻阅我的苹果手机设置里,发现一个问题:

在这个地方,我之前有很多信任过的证书在这,装了一些不是官方APP STORE的应用(比如微信多开),在微信多开被封杀之后,这些证书也没有被及时删除,鉴于IOS是全世界上最安全的手机操作系统( –鲁迅说过),问题不会出在那些正常APPSTORE下载的应用,然后就把证书全删了。。。嗯,猜想只是猜想,我目前还没有成熟的手段去查这背后的应用行为=。=

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注