當(dāng)前�����,無(wú)論是朋友間還是商家的推廣����,用手機(jī)收發(fā)紅包越來(lái)越成為更多人的選擇����?����?赡阌袥](méi)有想過(guò)�����,當(dāng)你點(diǎn)開(kāi)一個(gè)紅包鏈接時(shí),自己的支付寶信息會(huì)瞬間在另一個(gè)手機(jī)上被“克隆”�����,而對(duì)方可以像你一樣自由使用該賬號(hào)進(jìn)行掃碼支付……
9日下午���,一種針對(duì)安卓手機(jī)操作系統(tǒng)的新型攻擊危險(xiǎn)被公布���,這種“攻擊”能瞬間把手機(jī)應(yīng)用,克隆到攻擊者的手機(jī)上����,并克隆你的支付二維碼,進(jìn)行隱蔽式盜刷����。
瞬間克隆手機(jī)應(yīng)用 花你的錢(qián)不用商量
攻擊者向用戶發(fā)送短信,用戶點(diǎn)擊短信中的鏈接后�����,在自己的手機(jī)上看到的是一個(gè)真實(shí)的搶紅包網(wǎng)頁(yè)�����,攻擊者則已經(jīng)在另一臺(tái)手機(jī)上完成了克隆支付寶賬戶的操作,賬戶名���、用戶頭像等信息完全一致�����。
“克隆攻擊”是否真實(shí)存在呢?記者決定現(xiàn)場(chǎng)試驗(yàn)一下�。通過(guò)試驗(yàn)發(fā)現(xiàn)�����,中了克隆攻擊之后�����,用戶手機(jī)應(yīng)用中的數(shù)據(jù)被完全復(fù)制到了攻擊者的手機(jī)上��,兩臺(tái)手機(jī)看上去一模一樣�����。而克隆的二維碼�,也可以在商場(chǎng)里掃碼消費(fèi)成功�����,這筆消費(fèi)已經(jīng)悄悄出現(xiàn)在了被克隆手機(jī)的支付寶賬單中。
因?yàn)樾☆~的掃碼支付不需要密碼���,一旦中了克隆攻擊�,攻擊者完全可以用自己的手機(jī)�����,花別人的錢(qián)����。
網(wǎng)絡(luò)安全工程師稱,由于該操作不會(huì)多次入侵手機(jī)��,而是直接把手機(jī)應(yīng)用里的內(nèi)容搬出去���,在其他地方操作����。和過(guò)去的攻擊手段相比��,克隆攻擊的隱蔽性更強(qiáng)��,更不容易被發(fā)現(xiàn)。
“應(yīng)用克隆”可能波及國(guó)內(nèi)所有安卓用戶
“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同�����,它并不依靠傳統(tǒng)的木馬病毒���,也不需要用戶下載“冒名頂替”常見(jiàn)應(yīng)用的“李鬼”應(yīng)用����。
相關(guān)網(wǎng)絡(luò)專家比喻:“就像過(guò)去想進(jìn)入你的酒店房間���,需要把鎖弄壞�����,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡���,不但能隨時(shí)進(jìn)出,還能以你的名義在酒店消費(fèi)�����。”
據(jù)了解,攻擊者會(huì)把與攻擊相關(guān)的代碼��,隱藏在一個(gè)看起來(lái)很正常的頁(yè)面里面�,當(dāng)你打開(kāi)的時(shí)候���,看見(jiàn)的是正常的網(wǎng)頁(yè)��,可能是個(gè)新聞��、可能是個(gè)視頻����、可能是個(gè)圖片�,但實(shí)際上攻擊代碼正悄悄地運(yùn)行。只要手機(jī)應(yīng)用存在漏洞�����,一旦點(diǎn)擊短信中的攻擊鏈接����,或者掃描惡意的二維碼,APP中的數(shù)據(jù)都可能被復(fù)制���。
目前漏洞已被捕捉 尚未形成危害
現(xiàn)場(chǎng)展示:
攻擊者向用戶發(fā)一個(gè)短信���,包含一個(gè)鏈接�,用戶收到了短信����,點(diǎn)擊一下短信中的鏈接,用戶看起來(lái)是打開(kāi)了一個(gè)正常的頁(yè)面����,此時(shí)攻擊者已經(jīng)完整的克隆了用戶。所有的個(gè)人隱私信息�,這個(gè)賬戶都可以查看到的。
通過(guò)測(cè)試發(fā)現(xiàn)����,“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效,在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞�,比例超過(guò)10%。試驗(yàn)發(fā)現(xiàn)的漏洞至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP��,如支付寶�、餓了么等多個(gè)主流APP均存在漏洞,因此該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶�。
目前,“應(yīng)用克隆”這一漏洞只對(duì)安卓系統(tǒng)有效,蘋(píng)果手機(jī)不受影響�。另外,目前尚未有已知案例利用這種途徑發(fā)起攻擊�。
提醒:不要隨意點(diǎn)擊鏈接 及時(shí)更新升級(jí)系統(tǒng)
網(wǎng)絡(luò)安全工程師提醒:
如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機(jī)應(yīng)用都升級(jí)到最新版本,大部分的應(yīng)用就可以避免克隆攻擊����。
此外��,盡量不要隨意點(diǎn)擊別人發(fā)的鏈接�,不太確定的二維碼不要去掃;關(guān)注官方的升級(jí)更新提醒,包括操作系統(tǒng)和手機(jī)應(yīng)用���。
上一篇:共享單車騎行活躍度持續(xù)上升 文明騎行指數(shù)不斷升級(jí)
下一篇:解密:2017十大"科學(xué)"流言榜
