當(dāng)前,無論是朋友間還是商家的推廣���,用手機(jī)收發(fā)紅包越來越成為更多人的選擇�?���?赡阌袥]有想過,當(dāng)你點開一個紅包鏈接時��,自己的支付寶信息會瞬間在另一個手機(jī)上被“克隆”����,而對方可以像你一樣自由使用該賬號進(jìn)行掃碼支付……
9日下午,一種針對安卓手機(jī)操作系統(tǒng)的新型攻擊危險被公布��,這種“攻擊”能瞬間把手機(jī)應(yīng)用�,克隆到攻擊者的手機(jī)上�,并克隆你的支付二維碼���,進(jìn)行隱蔽式盜刷��。
瞬間克隆手機(jī)應(yīng)用 花你的錢不用商量
攻擊者向用戶發(fā)送短信����,用戶點擊短信中的鏈接后���,在自己的手機(jī)上看到的是一個真實的搶紅包網(wǎng)頁���,攻擊者則已經(jīng)在另一臺手機(jī)上完成了克隆支付寶賬戶的操作,賬戶名�、用戶頭像等信息完全一致。
“克隆攻擊”是否真實存在呢?記者決定現(xiàn)場試驗一下����。通過試驗發(fā)現(xiàn),中了克隆攻擊之后�����,用戶手機(jī)應(yīng)用中的數(shù)據(jù)被完全復(fù)制到了攻擊者的手機(jī)上,兩臺手機(jī)看上去一模一樣�����。而克隆的二維碼�����,也可以在商場里掃碼消費成功��,這筆消費已經(jīng)悄悄出現(xiàn)在了被克隆手機(jī)的支付寶賬單中�����。
因為小額的掃碼支付不需要密碼�����,一旦中了克隆攻擊����,攻擊者完全可以用自己的手機(jī)�,花別人的錢。
網(wǎng)絡(luò)安全工程師稱�����,由于該操作不會多次入侵手機(jī),而是直接把手機(jī)應(yīng)用里的內(nèi)容搬出去��,在其他地方操作�。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強(qiáng)�����,更不容易被發(fā)現(xiàn)����。
“應(yīng)用克隆”可能波及國內(nèi)所有安卓用戶
“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同,它并不依靠傳統(tǒng)的木馬病毒��,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用�。
相關(guān)網(wǎng)絡(luò)專家比喻:“就像過去想進(jìn)入你的酒店房間,需要把鎖弄壞�,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡,不但能隨時進(jìn)出�,還能以你的名義在酒店消費。”
據(jù)了解�����,攻擊者會把與攻擊相關(guān)的代碼,隱藏在一個看起來很正常的頁面里面����,當(dāng)你打開的時候,看見的是正常的網(wǎng)頁�,可能是個新聞、可能是個視頻�����、可能是個圖片��,但實際上攻擊代碼正悄悄地運行�����。只要手機(jī)應(yīng)用存在漏洞����,一旦點擊短信中的攻擊鏈接�,或者掃描惡意的二維碼,APP中的數(shù)據(jù)都可能被復(fù)制����。
目前漏洞已被捕捉 尚未形成危害
現(xiàn)場展示:
攻擊者向用戶發(fā)一個短信,包含一個鏈接,用戶收到了短信�����,點擊一下短信中的鏈接�����,用戶看起來是打開了一個正常的頁面��,此時攻擊者已經(jīng)完整的克隆了用戶�。所有的個人隱私信息,這個賬戶都可以查看到的��。
通過測試發(fā)現(xiàn)�����,“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效����,在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞,比例超過10%�����。試驗發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP,如支付寶���、餓了么等多個主流APP均存在漏洞�,因此該漏洞幾乎影響國內(nèi)所有安卓用戶���。
目前����,“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效�,蘋果手機(jī)不受影響。另外�����,目前尚未有已知案例利用這種途徑發(fā)起攻擊����。
提醒:不要隨意點擊鏈接 及時更新升級系統(tǒng)
網(wǎng)絡(luò)安全工程師提醒:
如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機(jī)應(yīng)用都升級到最新版本�����,大部分的應(yīng)用就可以避免克隆攻擊�����。
此外,盡量不要隨意點擊別人發(fā)的鏈接���,不太確定的二維碼不要去掃;關(guān)注官方的升級更新提醒�,包括操作系統(tǒng)和手機(jī)應(yīng)用�����。
上一篇:共享單車騎行活躍度持續(xù)上升 文明騎行指數(shù)不斷升級
下一篇:解密:2017十大"科學(xué)"流言榜
