首頁 行業(yè) 活動 項目 快訊 文娛 時尚 娛樂 科技 汽車 綜合 生活

安卓系統(tǒng)曝“致命”漏洞 提醒:不要隨意點擊鏈接

2018-01-12 15:08:31 來源:央視新聞

當前,無論是朋友間還是商家的推廣,用手機收發(fā)紅包越來越成為更多人的選擇??赡阌袥]有想過,當你點開一個紅包鏈接時,自己的支付寶信息會瞬間在另一個手機上被“克隆”,而對方可以像你一樣自由使用該賬號進行掃碼支付……

9日下午,一種針對安卓手機操作系統(tǒng)的新型攻擊危險被公布,這種“攻擊”能瞬間把手機應(yīng)用,克隆到攻擊者的手機上,并克隆你的支付二維碼,進行隱蔽式盜刷。

瞬間克隆手機應(yīng)用 花你的錢不用商量

攻擊者向用戶發(fā)送短信,用戶點擊短信中的鏈接后,在自己的手機上看到的是一個真實的搶紅包網(wǎng)頁,攻擊者則已經(jīng)在另一臺手機上完成了克隆支付寶賬戶的操作,賬戶名、用戶頭像等信息完全一致。

“克隆攻擊”是否真實存在呢?記者決定現(xiàn)場試驗一下。通過試驗發(fā)現(xiàn),中了克隆攻擊之后,用戶手機應(yīng)用中的數(shù)據(jù)被完全復(fù)制到了攻擊者的手機上,兩臺手機看上去一模一樣。而克隆的二維碼,也可以在商場里掃碼消費成功,這筆消費已經(jīng)悄悄出現(xiàn)在了被克隆手機的支付寶賬單中。

因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者完全可以用自己的手機,花別人的錢。

網(wǎng)絡(luò)安全工程師稱,由于該操作不會多次入侵手機,而是直接把手機應(yīng)用里的內(nèi)容搬出去,在其他地方操作。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發(fā)現(xiàn)。

“應(yīng)用克隆”可能波及國內(nèi)所有安卓用戶

“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同,它并不依靠傳統(tǒng)的木馬病毒,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用。

相關(guān)網(wǎng)絡(luò)專家比喻:“就像過去想進入你的酒店房間,需要把鎖弄壞,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”

據(jù)了解,攻擊者會把與攻擊相關(guān)的代碼,隱藏在一個看起來很正常的頁面里面,當你打開的時候,看見的是正常的網(wǎng)頁,可能是個新聞、可能是個視頻、可能是個圖片,但實際上攻擊代碼正悄悄地運行。只要手機應(yīng)用存在漏洞,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼,APP中的數(shù)據(jù)都可能被復(fù)制。

目前漏洞已被捕捉 尚未形成危害

現(xiàn)場展示:

攻擊者向用戶發(fā)一個短信,包含一個鏈接,用戶收到了短信,點擊一下短信中的鏈接,用戶看起來是打開了一個正常的頁面,此時攻擊者已經(jīng)完整的克隆了用戶。所有的個人隱私信息,這個賬戶都可以查看到的。

通過測試發(fā)現(xiàn),“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效,在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞,比例超過10%。試驗發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP,如支付寶、餓了么等多個主流APP均存在漏洞,因此該漏洞幾乎影響國內(nèi)所有安卓用戶。

目前,“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效,蘋果手機不受影響。另外,目前尚未有已知案例利用這種途徑發(fā)起攻擊。

提醒:不要隨意點擊鏈接 及時更新升級系統(tǒng)

網(wǎng)絡(luò)安全工程師提醒:

如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機應(yīng)用都升級到最新版本,大部分的應(yīng)用就可以避免克隆攻擊。

此外,盡量不要隨意點擊別人發(fā)的鏈接,不太確定的二維碼不要去掃;關(guān)注官方的升級更新提醒,包括操作系統(tǒng)和手機應(yīng)用。

 

關(guān)鍵詞: 安卓 漏洞 系統(tǒng)

上一篇:共享單車騎行活躍度持續(xù)上升 文明騎行指數(shù)不斷升級

下一篇:解密:2017十大"科學(xué)"流言榜

責任編輯:

最近更新

點擊排行
推薦閱讀