警惕!安卓系統曝“致命”漏洞:別人拿自己的手機,可以偷刷你的錢!
央視新聞 2018-01-12
當前,無論是朋友間還是商家的推廣,用手機收發紅包越來越成為更多人的選擇。可你有沒有想過,當你點開一個紅包連結時,自己的支付寶資訊會瞬間在另一個手機上被“克隆”,
9日下午,一種針對安卓手機作業系統的新型攻擊危險被公佈,這種“攻擊”能瞬間把手機應用,克隆到攻擊者的手機上,並克隆你的支付二維碼,進行隱蔽式盜刷。
瞬間克隆手機應用 花你的錢不用商量
攻擊者向用戶發送短信,用戶點擊短信中的連結後,在自己的手機上看到的是一個真實的搶紅包網頁,攻擊者則已經在另一台手機上完成了克隆支付寶帳戶的操作,帳戶名、使用者頭像等資訊完全一致。
“克隆攻擊”是否真實存在呢?記者決定現場試驗一下。通過試驗發現,中了克隆攻擊之後,使用者手機應用中的資料被完全複製到了攻擊者的手機上,
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者完全可以用自己的手機,花別人的錢。
網路安全工程師稱,
“應用克隆”可能波及國內所有安卓用戶
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
相關網路專家比喻:“就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
據瞭解,攻擊者會把與攻擊相關的代碼,隱藏在一個看起來很正常的頁面裡面,當你打開的時候,看見的是正常的網頁,
目前漏洞已被捕捉 尚未形成危害
現場展示:
攻擊者向用戶發一個短信,包含一個連結,使用者收到了短信,點擊一下短信中的連結,使用者看起來是打開了一個正常的頁面,此時攻擊者已經完整的克隆了用戶。所有的個人隱私資訊,這個帳戶都可以查看到的。
通過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。試驗發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,因此該漏洞幾乎影響國內所有安卓用戶。
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機不受影響。另外,目前尚未有已知案例利用這種途徑發起攻擊。
提醒:不要隨意點選連結 及時更新升級系統
網路安全工程師提醒:
如果現在把安卓作業系統和所有的手機應用都升級到最新版本,大部分的應用就可以避免克隆攻擊。
此外,儘量不要隨意點擊別人發的連結,不太確定的二維碼不要去掃;關注官方的升級更新提醒,包括作業系統和手機應用。
所有的個人隱私資訊,這個帳戶都可以查看到的。通過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。試驗發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,因此該漏洞幾乎影響國內所有安卓用戶。
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機不受影響。另外,目前尚未有已知案例利用這種途徑發起攻擊。
提醒:不要隨意點選連結 及時更新升級系統
網路安全工程師提醒:
如果現在把安卓作業系統和所有的手機應用都升級到最新版本,大部分的應用就可以避免克隆攻擊。
此外,儘量不要隨意點擊別人發的連結,不太確定的二維碼不要去掃;關注官方的升級更新提醒,包括作業系統和手機應用。