隨著新年到來, 小夥伴們開始頻繁地收發紅包, 有朋友間的互送, 也有商家的推廣活動。 可你有沒有想過, 你的支付寶竟然能被克隆到別人的手機上, 而他可以像你一樣使用該帳號, 包括掃碼支付。
這不是聳人聽聞, 你安裝的手機應用裡, 真的可能存在這種漏洞。
1月9日, 騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。 在這個攻擊模型的視角下, 很多以前認為威脅不大、廠商不重視的安全問題, 都可以輕鬆“克隆”使用者帳戶, 竊取隱私資訊, 盜取帳號及資金等。
先通過一個演示來瞭解它, 以支付寶為例:在升級到最新安卓8.1.0的手機上↓
“攻擊者”向用戶發送一條包含惡意連結的手機短信↓
用戶一旦點擊, 其帳戶一秒鐘就被“克隆”到“攻擊者”的手機中↓
然後“攻擊者”就可以任意查看使用者資訊, 並可直接操作該應用↓
詳情戳視頻↓↓↓
為驗證這個克隆APP是不是真的能花錢,有人進行以下測試。 然後發現,中了克隆攻擊之後,用戶這個手機應用中的資料被神奇地複製到了攻擊者的手機上,兩台手機看上去一模一樣。那麼,這台克隆手機能不能正常的消費呢?
通過克隆來的二維碼,在商場輕鬆地掃碼消費成功。而且在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶帳單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
漏洞幾乎影響國內所有安卓用戶騰訊經過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。
騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。
“應用克隆”有多可怕?騰訊安全玄武實驗室負責人于暘表示,該攻擊模型基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
網路安全工程師說,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
↑玄武實驗室9日檢測結果
修復:APP廠商需自查一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表在發現這些漏洞後,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關資訊,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計畫”協助處理。
於暘表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對使用者量大、涉及重要資料的APP,玄武實驗室也願意提供相關技術援助。
用戶如何進行防範?普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施:
首先是別人發給你的連結少點,不太確定的二維碼不要出於好奇去掃;
更重要的是,要關注官方的升級,包括你的作業系統和手機應用,有小紅點出來時一定要及時升級。目前支付寶、餓了麼等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。
與其相忘於江湖
不如一起來搞機
詳情戳視頻↓↓↓
為驗證這個克隆APP是不是真的能花錢,有人進行以下測試。 然後發現,中了克隆攻擊之後,用戶這個手機應用中的資料被神奇地複製到了攻擊者的手機上,兩台手機看上去一模一樣。那麼,這台克隆手機能不能正常的消費呢?
通過克隆來的二維碼,在商場輕鬆地掃碼消費成功。而且在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶帳單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
漏洞幾乎影響國內所有安卓用戶騰訊經過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。
騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。
“應用克隆”有多可怕?騰訊安全玄武實驗室負責人于暘表示,該攻擊模型基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。
網路安全工程師說,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
↑玄武實驗室9日檢測結果
修復:APP廠商需自查一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表在發現這些漏洞後,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關資訊,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計畫”協助處理。
於暘表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對使用者量大、涉及重要資料的APP,玄武實驗室也願意提供相關技術援助。
用戶如何進行防範?普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施:
首先是別人發給你的連結少點,不太確定的二維碼不要出於好奇去掃;
更重要的是,要關注官方的升級,包括你的作業系統和手機應用,有小紅點出來時一定要及時升級。目前支付寶、餓了麼等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。
與其相忘於江湖
不如一起來搞機