隨著新年到來, 小夥伴們開始頻繁地收發紅包, 有朋友間的互送, 也有商家的推廣活動。 可你有沒有想過, 哪天當你點開一個紅包連結, 自己的支付寶資訊瞬間在另一個手機上被“克隆”了?而別人可以像你一樣使用該帳號, 包括掃碼支付。
這不是小編聳人聽聞, 你安裝的手機應用裡, 真的可能存在這種漏洞。
1月9日, 騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。 先通過一個演示來瞭解它, 以支付寶為例:
在升級到最新安卓8.1.0的手機上↓
“攻擊者”向用戶發送一條包含惡意連結的手機短信↓
用戶一旦點擊, 其帳戶一秒鐘就被“克隆”到“攻擊者”的手機中↓
然後“攻擊者”就可以任意查看使用者資訊, 並可直接操作該應用↓
詳情戳視頻↓↓↓
你的手機會被影響嗎?
有什麼防範的方法?
在這個“可怕”的攻擊威脅背後,
又折射出怎樣的移動互聯網時代安全新形勢?
1
漏洞幾乎影響國內所有安卓用戶
騰訊經過測試發現, “應用克隆”對大多數移動應用都有效, 在200個移動應用中發現27個存在漏洞, 比例超過10%。
騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP, 如支付寶、餓了麼等多個主流APP均存在漏洞, 所以該漏洞幾乎影響國內所有安卓用戶。
目前, “應用克隆”這一漏洞只對安卓系統有效, 蘋果手機則不受影響。
另外, 騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。
2
“應用克隆”有多可怕?
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同, 它實際上並不依靠傳統的木馬病毒, 也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
騰訊相關負責人比喻:
“這就像過去想進入你的酒店房間, 需要把鎖弄壞, 但現在的方式是複製了一張你的酒店房卡, 不但能隨時進出, 還能以你的名義在酒店消費。 ”
↑玄武實驗室9日檢測結果
3
用戶如何進行防範?
而普通用戶最關心的則是如何能對這一攻擊方式進行防範。 知道創宇404實驗室負責人回答記者提問時表示, 普通用戶的防範比較頭疼, 但仍有一些通用的安全措施:
一是別人發給你的連結少點,
更重要的是, 要關注官方的升級, 包括你的作業系統和手機應用, 真的需要及時升級。
4
漏洞:尚未形成危害就被捕捉
一個令人吃驚的事實是, 這一攻擊方式並非剛剛被發現。 騰訊相關負責人表示:“整個攻擊當中涉及的每一個風險點, 其實都有人提過。 ”
那麼為什麼這種危害巨大的攻擊方式此前卻既未被安全廠商發覺, 也未有攻擊案例發生?
“這是新的多點耦合產生的漏洞。 ”該負責人打了一個比喻, “這就像是網線插頭上有個凸起, 結果路由器在插口位置上正好設計了一個重新開機按鈕。 “
網線本身沒有問題, 路由器也沒有問題, 但結果是你一插上網線, 路由器就重啟。
多點耦合的出現, 其實正意味著網路安全形勢的變化。 硬幣的一面是漏洞“聯合作戰”的“乘法效應”, 另一面則是防守者們形成的合力。
在移動時代, 最重要的是使用者帳號體系和資料的安全。
而保護好這些, 光搞好系統自身安全遠遠不夠, 需要手機廠商、應用開發商、網路安全研究者等多方攜手。