大家怎么看支付宝 scheme 的 bug

这个太恶心了吧

看起来是自己做的一个白名单, 然后被爆了

这么爱国啊

绝大部分国产 app 估计都这德行

deeplink 打开 app 加载任意 web 页面, 通过支付宝内部已有的 JS bridge 查询数据或执行操作, 话说这些操作都不验证域名的吗? 谁来都可以调用自己 app 内部的方法?, 有点草台了..

基本操作，国产 app 都这样

https://ds.alipay.com/?scheme=alipays://platformapi/startapp?appId=20000067&url=xx 怪不得信息泄露这么严重, 日常支付就是支付宝, 哈哈哈

不知道微信有没有这样的漏洞

忘记乌云是怎么没的了？

不奇怪，而且你拿他没办法，之前 PDD 专门搞漏洞也没后文，大企业就是这样

这个不是水过了
https://study.congcong.us/t/1198173

得问摩萨德

自己抓包看了一下，还会扫 wifi 、蓝牙，mac 地址和设备名也会上报...

ChangeQuickRedirect 不是美团的热更新框架 Robust 嘛

可怕

我用 pixel ，装的 play 版的，看了下权限只有位置，相机，音乐音频，照片和视频，其他都是拒绝的

阿里反手就是：破坏计算机信息系统罪 把你送走信不信

这是木马啦

只要不鸡儿扫码就影响不大

看了下，大部分都可以归为安全漏洞一类，然后最后一项确实很讨厌，这个也就是常说的热更新，并不是什么新鲜玩意。
从行文语气和用词来看，作者不像搞应用开发的，因为很多东西都有成熟的术语，但是作者用了挺拗口的表达。
至于 alipay 官方是蠢还是坏，都有吧，蠢这部分是全世界全行业都有的，漏洞嘛。坏我也不能说是国内特色，不然要被质疑站队了