掃一掃二維碼
領取一個小紅包
點擊一條連結
商家送給你一個優惠紅包
但你有沒有想過
點擊一個紅包連結
自己的支付寶資訊瞬間被“克隆”了
不僅如此
別人還可以像你一樣使用該帳號
包括掃碼支付!!!
聽起來挺可怕的
但這事兒確實是真的!!!
怎麼回事?速度瞭解
日前, 騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。 這是一款針對安卓系統的隱私竊取手段。 日前, 國家資訊安全性漏洞共用平臺針對“克隆漏洞”發佈公告, 將該漏洞綜合評級為“高危”, 並給出了修復建議。
你的錢是怎麼被盜刷的?
先用一個演示來瞭解, 以支付寶為例:
1、在安卓手機上, “攻擊者”向用戶發送一條包含惡意連結的手機短信;
2、用戶一旦點擊, 其帳戶一秒鐘就被“克隆”到“攻擊者”的手機中。
3、“攻擊者”就可以任意查看使用者資訊, 並可直接操作該應用。
看完之後, 是不是覺得很可怕?
騰訊安全玄武實驗室在國內安卓應用市場上檢測了大概200個應用, 發現有27個存在問題, 其中18個App可以被遠端攻擊, 即通過短信連結複製。 另外9個App只能從本地被攻擊, 即通過手機上裝載的惡意應用實現類似“克隆”功能。
據瞭解, 支付寶、百度外賣、國美等等大部分App主動回饋,表示已經在修復漏洞的進程中。
哪些手機受到影響?
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。
哪些App存有漏洞?
截至1月9日,27款存在漏洞的App中有11個已進行修復,但其中有三個沒有完全修復。此外,目前還沒有收到回饋的App廠商包括京東到家、餓了麼、聚美優品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商。對於拒不修復的將會按照《網路安全法》採取強制措施。
安全玄武實驗室表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的App廠商關注並自查產品是否仍存在相應漏洞,並進行修復。
“應用克隆”有多可怕?
和以往的木馬攻擊不同,“應用克隆”實際上並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
有人做了個小測試,嘗試用“克隆手機”消費,通過克隆過來的二維碼,他輕鬆掃碼消費成功。因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
用戶如何進行防範?
“這類攻擊真實發生的時候普通使用者很難防範”,網路安全公司知道創宇首席安全官周景平表示,因為在現實的場景下,攻擊者會偽裝成各種各樣的場景,包括連結短信、掃描二維碼訪問網頁等。周景平建議,普通用戶應該從以下方面進行防範:
1、別人發的連結少點,不太確定的二維碼不要出於好奇掃碼;
2、關注官方的升級,作業系統、各類App要及時升級。
網路安全工程師表示,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊連結,或者掃描惡意的二維碼,App中的資料都可能被複製。
就在前晚,國家資訊安全性漏洞共用平臺發佈公告稱,安卓WebView控制項存在跨域訪問漏洞。網路安全工程師表示,如果現在把安卓作業系統和所有的手機應用都升級到最新版本,大部分的應用就可以避免克隆攻擊。
明仔要再次提醒大家啦
大家不要隨便點擊不明連結
不要隨便掃描不明二維碼喲
編輯|高明發佈微信編輯部
資料|廣東發佈、新華社
回復關鍵字獲取便民服務
天氣 | 颱風 | 即時公交
即時路況 | 查詢違章 | 查詢班車
查公積金 | 查詢社保 | 看病預約
查詢水費 | 查寄快遞 | 通行證續簽
支付寶、百度外賣、國美等等大部分App主動回饋,表示已經在修復漏洞的進程中。哪些手機受到影響?
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。
哪些App存有漏洞?
截至1月9日,27款存在漏洞的App中有11個已進行修復,但其中有三個沒有完全修復。此外,目前還沒有收到回饋的App廠商包括京東到家、餓了麼、聚美優品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商。對於拒不修復的將會按照《網路安全法》採取強制措施。
安全玄武實驗室表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的App廠商關注並自查產品是否仍存在相應漏洞,並進行修復。
“應用克隆”有多可怕?
和以往的木馬攻擊不同,“應用克隆”實際上並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
有人做了個小測試,嘗試用“克隆手機”消費,通過克隆過來的二維碼,他輕鬆掃碼消費成功。因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
用戶如何進行防範?
“這類攻擊真實發生的時候普通使用者很難防範”,網路安全公司知道創宇首席安全官周景平表示,因為在現實的場景下,攻擊者會偽裝成各種各樣的場景,包括連結短信、掃描二維碼訪問網頁等。周景平建議,普通用戶應該從以下方面進行防範:
1、別人發的連結少點,不太確定的二維碼不要出於好奇掃碼;
2、關注官方的升級,作業系統、各類App要及時升級。
網路安全工程師表示,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊連結,或者掃描惡意的二維碼,App中的資料都可能被複製。
就在前晚,國家資訊安全性漏洞共用平臺發佈公告稱,安卓WebView控制項存在跨域訪問漏洞。網路安全工程師表示,如果現在把安卓作業系統和所有的手機應用都升級到最新版本,大部分的應用就可以避免克隆攻擊。
明仔要再次提醒大家啦
大家不要隨便點擊不明連結
不要隨便掃描不明二維碼喲
編輯|高明發佈微信編輯部
資料|廣東發佈、新華社
回復關鍵字獲取便民服務
天氣 | 颱風 | 即時公交
即時路況 | 查詢違章 | 查詢班車
查公積金 | 查詢社保 | 看病預約
查詢水費 | 查寄快遞 | 通行證續簽