如果你指是,用支付宝扫描一个收付款码,有没有可能导致手机被植入木马的话。
技术理论上是可行。
首先,二维码本质也是一串字符串,而扫描时,会把这个字符串作为输入参数。
如果扫描后调用的接口,这个参数没有做安全过滤和验证,那么这段字符串是可以作为恶意代码实现入侵的(接口本身没有执行代码的功能,但是可以通过溢出漏洞实现执行代码,从而控制手机植入木马)。
安全大佬TK教主(腾讯玄武实验室负责人),在10多年前有发布BadBarcode的研究了,也有成功攻击的案例。
图片来自freebuf
https://mp.weixin.qq.com/s/Vxr7RrU02zlzJKr8ctgw9Q
不过呢,对于支付宝微信都有成熟的安全团队,这类问题都是已经有考虑到了,要实现入侵的难度就很大了。其实主要把一些特殊的一些字符过滤掉,就比较难逃逸了。
所以说,对于普通人在日常使用的场景中,不用过于担心这个问题。
如果说现在是一个没有安全经验的开发人员去实现二维码扫描支付的功能,那么大概率是能攻击利用的。当然了,这个攻击的门槛也会比较高,需要构造相关的恶意代码。
有些攻击场景也比较有趣,现在假设一个存在漏洞的二维码扫描系统,你贴在一些店里面标记这是一个领红包链接,那么有人一扫描,也可以实现远程攻击了。
最后附上大佬年轻时候的照片,哈哈哈
