研究称支付宝 DeepLink 可引入外部页面调用 JSBridge,被利用可致个人信息外泄
安全研究机构 Innora AI Security Research 发布技术分析称,在支付宝 com.eg.android.AlipayGphone v10.8.26.7000、v10.8.30.8000 中,DeepLink 与 WebView JSBridge 组合可形成攻击链,用户主动点击链接,外部页面即可在应用内调用部分 AlipayJSBridge API。其称 iOS 可用 API 为 18 个,高于 Android 的 13 个,并涉及 tradePay、getLocation 等接口,API 被利用可导致机密位置信息和财务信息被掌握。
研究团队表示已按负责任披露流程向蚂蚁集团提交多轮报告,蚂蚁集团于 2026 年 3 月 10 日回复相关问题属于“正常功能”。
刚在隔壁也看到了,白帽不好做。