當前�,無論是朋友間還是商家的推廣�,用手機收發(fā)紅包越來越成為更多人的選擇。可你有沒有想過�,當你點開一個紅包鏈接時,自己的支付寶信息會瞬間在另一個手機上被“克隆”�,而對方可以像你一樣自由使用該賬號進行掃碼支付……
9日下午�,一種針對安卓手機操作系統(tǒng)的新型攻擊危險被公布�,這種“攻擊”能瞬間把手機應用,克隆到攻擊者的手機上�,并克隆你的支付二維碼�,進行隱蔽式盜刷�。
瞬間克隆手機應用 花你的錢不用商量
攻擊者向用戶發(fā)送短信,用戶點擊短信中的鏈接后�,在自己的手機上看到的是一個真實的搶紅包網頁�,攻擊者則已經在另一臺手機上完成了克隆支付寶賬戶的操作�,賬戶名、用戶頭像等信息完全一致�。
“克隆攻擊”是否真實存在呢?記者決定現場試驗一下�。通過試驗發(fā)現�,中了克隆攻擊之后,用戶手機應用中的數據被完全復制到了攻擊者的手機上�,兩臺手機看上去一模一樣�。而克隆的二維碼�,也可以在商場里掃碼消費成功,這筆消費已經悄悄出現在了被克隆手機的支付寶賬單中�。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊�,攻擊者完全可以用自己的手機�,花別人的錢。
網絡安全工程師稱�,由于該操作不會多次入侵手機�,而是直接把手機應用里的內容搬出去,在其他地方操作�。和過去的攻擊手段相比�,克隆攻擊的隱蔽性更強�,更不容易被發(fā)現�。
“應用克隆”可能波及國內所有安卓用戶
“應用克隆”的可怕之處在于:和以往的木馬攻擊不同�,它并不依靠傳統(tǒng)的木馬病毒�,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用�。
相關網絡專家比喻:“就像過去想進入你的酒店房間�,需要把鎖弄壞,但現在的方式是復制了一張你的酒店房卡�,不但能隨時進出�,還能以你的名義在酒店消費�。”
據了解�,攻擊者會把與攻擊相關的代碼�,隱藏在一個看起來很正常的頁面里面�,當你打開的時候,看見的是正常的網頁�,可能是個新聞、可能是個視頻�、可能是個圖片�,但實際上攻擊代碼正悄悄地運行�。只要手機應用存在漏洞�,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼�,APP中的數據都可能被復制。
目前漏洞已被捕捉 尚未形成危害
現場展示:
攻擊者向用戶發(fā)一個短信�,包含一個鏈接�,用戶收到了短信,點擊一下短信中的鏈接�,用戶看起來是打開了一個正常的頁面,此時攻擊者已經完整的克隆了用戶�。所有的個人隱私信息,這個賬戶都可以查看到的�。
通過測試發(fā)現�,“應用克隆”對大多數移動應用都有效,在200個移動應用中發(fā)現27個存在漏洞�,比例超過10%�。試驗發(fā)現的漏洞至少涉及國內安卓應用市場十分之一的APP�,如支付寶�、餓了么等多個主流APP均存在漏洞�,因此該漏洞幾乎影響國內所有安卓用戶。
目前�,“應用克隆”這一漏洞只對安卓系統(tǒng)有效�,蘋果手機不受影響�。另外�,目前尚未有已知案例利用這種途徑發(fā)起攻擊。
提醒:不要隨意點擊鏈接 及時更新升級系統(tǒng)
網絡安全工程師提醒:
如果現在把安卓操作系統(tǒng)和所有的手機應用都升級到最新版本�,大部分的應用就可以避免克隆攻擊。
此外�,盡量不要隨意點擊別人發(fā)的鏈接,不太確定的二維碼不要去掃;關注官方的升級更新提醒�,包括操作系統(tǒng)和手機應用。
上一篇:共享單車騎行活躍度持續(xù)上升 文明騎行指數不斷升級
下一篇:解密:2017十大"科學"流言榜
