您好!今天是:2025年-5月2日-星期五
小心!安卓系統曝“致命”漏洞:別人可以拿自己的手機,偷刷你的錢!
點擊:17600 作者:記者 來源:共青團中央 發布時間:2018-01-12 09:28:25
隨著新年到來,小伙伴們開始頻繁地收發紅包,有朋友間的互送,也有商家的推廣活動。
可你有沒有想過,你的支付寶竟然能被克隆到別人的手機上,而他可以像你一樣使用該賬號,包括掃碼支付。
這不是聳人聽聞,你安裝的手機應用里,真的可能存在這種漏洞。
1月9日,騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。
在這個攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。
你的錢是怎么被盜刷的?
先通過一個演示來了解它,以支付寶為例:
在升級到最新安卓8.1.0的手機上↓
“攻擊者”向用戶發送一條包含惡意鏈接的手機短信↓
用戶一旦點擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中↓
然后“攻擊者”就可以任意查看用戶信息,并可直接操作該應用↓
為了驗證這個克隆APP是不是真的能花錢,記者借到了一部手機,經過手機機主的同意,記者進行了測試。
記者發現,中了克隆攻擊之后,用戶這個手機應用中的數據被神奇地復制到了攻擊者的手機上,兩臺手機看上去一模一樣。
那么,這臺克隆手機能不能正常的消費呢?記者到商場買了點東西。
通過克隆來的二維碼,記者在商場輕松地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶賬單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
詳情戳視頻↓↓↓
“應用克隆”有多可怕?
騰訊安全玄武實驗室負責人于旸表示,該攻擊模型基于移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。
“應用克隆”的可怕之處在于:和以往的木馬攻擊不同,它實際上并不依靠傳統的木馬病毒,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。
網絡安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用里的內容搬出去,在其他地方操作。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是復制了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
↑玄武實驗室9日檢測結果
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼,APP中的數據都可能被復制。
修復:APP廠商需自查
一個令人吃驚的事實是,這一攻擊方式并非剛剛被發現。騰訊相關負責人表在發現這些漏洞后,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關信息,并給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計劃”協助處理。
于旸表示,由于對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注并自查產品是否仍存在相應漏洞,并進行修復。對用戶量大、涉及重要數據的APP,玄武實驗室也愿意提供相關技術援助。
用戶如何進行防范?
而普通用戶最關心的則是如何能對這一攻擊方式進行防范。知道創宇404實驗室負責人回答記者提問時表示,普通用戶的防范比較頭疼,但仍有一些通用的安全措施:
首先是別人發給你的鏈接少點,不太確定的二維碼不要出于好奇去掃;
更重要的是,要關注官方的升級,包括你的操作系統和手機應用,有小紅點出來時一定要及時升級。目前支付寶、餓了么等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。
在移動時代,最重要的是用戶賬號體系和數據的安全。而保護好這些,光搞好系統自身安全遠遠不夠,需要手機廠商、應用開發商、網絡安全研究者等多方攜手。
在這個高度網絡化的時代
信息安全尤為重要
盡量不要點擊來源不明的鏈接
來源:微信公眾號“央視財經”、“江西共青團”、廣州日報、經濟日報(記者 陳靜)、中國經濟網、光明網、騰訊微信公眾號
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
小心!安卓系統曝“致命”漏洞:別人可以拿自己的手機,偷刷你的錢!
2018-01-12? 昆侖專題 ?
? 十九大報告深度談 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
圖片新聞
