隨著新年到來, 小夥伴們開始頻繁地收發紅包, 可你有沒有想過, 當你點開一個紅包連結時, 你的支付寶可能被克隆到別人的手機上, 而他可以像你一樣使用該帳號, 包括掃碼支付……
這不是聳人聽聞, 你安裝的手機應用裡, 真的可能存在這種漏洞
↓↓↓
近日, 一種針對安卓手機作業系統的新型攻擊被公佈, 這種“攻擊”能瞬間把手機應用, 克隆到攻擊者的手機上, 並克隆你的支付二維碼, 進行隱蔽式盜刷。
攻擊者向用戶發送短信, 用戶點擊短信中的連結後, 在自己的手機上看到的是一個真實的搶紅包網頁, 攻擊者則已經在另一台手機上完成了克隆支付寶帳戶的操作, 帳戶名、使用者頭像等資訊完全一致。
在升級到最新安卓8.1.0的手機上↓
“攻擊者”向用戶發送一條包含惡意連結的手機短信↓
用戶一旦點擊, 其帳戶一秒鐘就被“克隆”到“攻擊者”的手機中↓
然後“攻擊者”就可以任意查看使用者資訊(以支付寶為實驗物件),並可直接操作該應用↓
通過試驗發現,中了克隆攻擊之後,使用者手機應用中的資料被完全複製到了攻擊者的手機上,兩台手機看上去一模一樣。用克隆的二維碼進行掃描消費測試,結果顯示消費成功,這筆消費也悄悄出現在了被克隆手機的支付寶帳單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
通過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。試驗發現的漏洞至少涉及國內安卓應用市場十分之一的APP,多個主流APP均存在漏洞,因此該漏洞幾乎影響國內所有安卓用戶。目前,“應用克隆”這一漏洞只對安卓系統有效。另外,目前尚未有已知案例利用這種途徑發起攻擊。
溫馨提示:
1、別人發給你的連結不要輕易點擊,不明來源的二維碼不要出於好奇去掃;
2、關注官方的升級更新提醒,包括作業系統和手機應用,並及時更新。
然後“攻擊者”就可以任意查看使用者資訊(以支付寶為實驗物件),並可直接操作該應用↓
通過試驗發現,中了克隆攻擊之後,使用者手機應用中的資料被完全複製到了攻擊者的手機上,兩台手機看上去一模一樣。用克隆的二維碼進行掃描消費測試,結果顯示消費成功,這筆消費也悄悄出現在了被克隆手機的支付寶帳單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
通過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。試驗發現的漏洞至少涉及國內安卓應用市場十分之一的APP,多個主流APP均存在漏洞,因此該漏洞幾乎影響國內所有安卓用戶。目前,“應用克隆”這一漏洞只對安卓系統有效。另外,目前尚未有已知案例利用這種途徑發起攻擊。
溫馨提示:
1、別人發給你的連結不要輕易點擊,不明來源的二維碼不要出於好奇去掃;
2、關注官方的升級更新提醒,包括作業系統和手機應用,並及時更新。