隨著新年到來, 小夥伴們開始頻繁地收發紅包, 有朋友間的互送, 也有商家的推廣活動。
可你有沒有想過, 你的支付寶竟然能被克隆到別人的手機上, 而他可以像你一樣使用該帳號, 包括掃碼支付。
這不是聳人聽聞, 你安裝的手機應用裡, 真的可能存在這種漏洞。
1月9日, 騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。
在這個攻擊模型的視角下, 很多以前認為威脅不大、廠商不重視的安全問題, 都可以輕鬆“克隆”使用者帳戶, 竊取隱私資訊, 盜取帳號及資金等。
你的錢是怎麼被盜刷的?
先通過一個演示來瞭解它, 以支付寶為例:
在升級到最新安卓8.1.0的手機上↓
“攻擊者”向用戶發送一條包含惡意連結的手機短信↓
用戶一旦點擊, 其帳戶一秒鐘就被“克隆”到“攻擊者”的手機中↓
然後“攻擊者”就可以任意查看使用者資訊, 並可直接操作該應用↓
為了驗證這個克隆APP是不是真的能花錢,記者借到了一部手機,經過手機機主的同意,記者進行了測試。
記者發現,中了克隆攻擊之後,用戶這個手機應用中的資料被神奇地複製到了攻擊者的手機上,兩台手機看上去一模一樣。
那麼,這台克隆手機能不能正常的消費呢?記者到商場買了點東西。
通過克隆來的二維碼,記者在商場輕鬆地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶帳單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
“應用克隆”有多可怕?
騰訊安全玄武實驗室負責人于暘表示,該攻擊模型基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
網路安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
↑玄武實驗室9日檢測結果
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊連結,或者掃描惡意的二維碼,APP中的資料都可能被複製。
修復:APP廠商需自查
一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表在發現這些漏洞後,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關資訊,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計畫”協助處理。
於暘表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對使用者量大、涉及重要資料的APP,玄武實驗室也願意提供相關技術援助。
用戶如何進行防範?
而普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施:
首先是別人發給你的連結少點,不太確定的二維碼不要出於好奇去掃;
更重要的是,要關注官方的升級,包括你的作業系統和手機應用,有小紅點出來時一定要及時升級。目前支付寶、餓了麼等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。
在移動時代,最重要的是使用者帳號體系和資料的安全。而保護好這些,光搞好系統自身安全遠遠不夠,需要手機廠商、應用開發商、網路安全研究者等多方攜手。
在這個高度網路化的時代
資訊安全尤為重要
儘量不要點擊來源不明的連結
為了驗證這個克隆APP是不是真的能花錢,記者借到了一部手機,經過手機機主的同意,記者進行了測試。
記者發現,中了克隆攻擊之後,用戶這個手機應用中的資料被神奇地複製到了攻擊者的手機上,兩台手機看上去一模一樣。
那麼,這台克隆手機能不能正常的消費呢?記者到商場買了點東西。
通過克隆來的二維碼,記者在商場輕鬆地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶帳單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
“應用克隆”有多可怕?
騰訊安全玄武實驗室負責人于暘表示,該攻擊模型基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
網路安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
↑玄武實驗室9日檢測結果
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊連結,或者掃描惡意的二維碼,APP中的資料都可能被複製。
修復:APP廠商需自查
一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表在發現這些漏洞後,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關資訊,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計畫”協助處理。
於暘表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對使用者量大、涉及重要資料的APP,玄武實驗室也願意提供相關技術援助。
用戶如何進行防範?
而普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施:
首先是別人發給你的連結少點,不太確定的二維碼不要出於好奇去掃;
更重要的是,要關注官方的升級,包括你的作業系統和手機應用,有小紅點出來時一定要及時升級。目前支付寶、餓了麼等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。
在移動時代,最重要的是使用者帳號體系和資料的安全。而保護好這些,光搞好系統自身安全遠遠不夠,需要手機廠商、應用開發商、網路安全研究者等多方攜手。
在這個高度網路化的時代
資訊安全尤為重要
儘量不要點擊來源不明的連結