posted by wap, platform: Chrome
这个病毒（其实说木马更好）的危害在于，它在你信任的应用里藏了自己的私货。

从权限上来说，它不能做得比原应用更多，比如，它还是无法监听你的短信，它不能偷偷发一个短信，它也无法跑去偷窥第三方应用。但危害在于，它是一个木马，它已成为原应用的一部分。理论上说，它有能力访问这个app的沙盒内的信息。所以是的，如果微信够蠢，数据明文保存和传输的话，你的信息很有可能已经被泄露给黑客。

posted by wap, platform: Chrome

引用:

原帖由 @yi_huan  于 2015-9-22 13:35 发表
我敢保证我的电脑没有安全问题，因为我做网银的电脑是专门一台笔记本，里面不装任何不明软件。

对了，就算我在电脑上泄露完所有个人信息，难道就代表苹果上泄露就是合理的可原谅的？你的逻辑很可笑。

而且现在实打实是，信息很可能被泄露了，这一点不了回避。

本帖最后由 yi_huan 于 2015922 13:36 通过手机版编辑

只是说有这个可能性，比如微信就真把你的信用卡信息明文存在本地了，或者把你的信用卡信息明文地在网络上传输，那么木马有可能获取这些信息。
如果微信只是在你绑定信用卡时把这些信息保存到服务器，那么本地就没有这些信息，你绑定好信用卡以后也没有相关信息在传输，或者就真的本地传输和网上传输了但腾讯对数据进行了加密，那么你的信用卡信息就没有被泄露。
我趋向于相信后者这种情况，腾讯已经将支付做到了微信里，真能蠢到啥都明文？可能性很低。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-22 13:47 发表
你搞错了方向，客户端不会明文持久化这些敏感数据的。
这个木马是可以直播你的绑定过程。。。

首先那得正好赶上用户在中木马期间做这个信用卡绑定的动作。

其次这么敏感的信息不应该明文，传输前应该先加密吧，木马只是app的附加物，它也无法去破解app内部的加密算法。只要加密了，数据被传输到第三方服务器再被解密的还是有一定难度的。

posted by wap, platform: Chrome

引用:

原帖由 @wangmax  于 2015-9-22 13:57 发表
我看介绍是说，UItextfield等被加了category，用户输入的时候，就已经被写入到其他变量里了，所以后面的加密，已经无关紧要了。

这么说的话确实危害就更高了，危害就变成你中木马期间所输入的内容都有可能被泄露了。具体到微信，如果是在中木马期间绑定了信用卡，那这张卡还真很危险。