你有沒有想過
哪天當你點開一個紅包,你的支付寶信息瞬間被“克隆”
然後別人就可以用你的賬號,刷你的錢!
瞬間克隆,花你的錢不商量
最近,一種針對安卓手機操作系統的新型攻擊危險被公佈,這種“攻擊”能瞬間把你手機的應用,克隆到攻擊者的手機上,並克隆你的支付二維碼,進行隱蔽式盜刷。
攻擊者向用戶發短信,用戶點擊短信中的鏈接,用戶在自己的手機上看到的是一個真實的搶紅包網頁,攻擊者則已經在另一臺手機上完成了克隆支付寶賬戶的操作。賬戶名用戶頭像完全一致。
央視記者在現場借到了一部手機,經過手機機主的同意,記者決定試一下“克隆攻擊”是不是真實存在。
記者發現,中了克隆攻擊之後,用戶這個手機應用中的數據被神奇地複製到了攻擊者的手機上,兩臺手機看上去一模一樣。那麼,這臺克隆手機能不能正常地消費呢?記者到商場進行了簡單的測試。
通過克隆來的二維碼,記者在商場輕鬆地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶賬單中。
再以支付寶為例,黑客向用戶發送一條隱藏著攻擊信息的短信,並以紅包加以引誘,用戶在這種情況下點開短信裡的鏈接,他看到的是一個真實的搶紅包頁面,但攻擊者卻在另一個手機上覆制了該用戶完整的支付寶賬戶信息,包括頭像、用戶名等完全一樣,也可以查看用戶的芝麻信用分,還可以用支付寶的付款碼進行消費。在演示中,攻擊者成功幫助用戶消費了325元。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。
而短信只是其中一種誘導方式,該漏洞還可以被黑客隱藏在二維碼、新聞頁面等,只要用戶不小心點到了就會中招。
黑客是否可以連用戶的支付密碼也“克隆”?專家表示:“就支付寶而言,密碼是拿不到的。但有些App因為還存在其它漏洞,在克隆後,再配合其它漏洞真的可以拿到密碼,完完全全控制賬號。”
網絡安全工程師表示,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用裡的內容搬出去,在其他地方操作。
“應用克隆”有多可怕?
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”
騰訊安全玄武實驗室研究員 王永科表示,攻擊者可以在他自己的手機上完全地操作賬戶,包括查看隱私信息,甚至還可以盜用裡面的錢財。
智能手機,在我們生活中扮演的角色越來越重要。我們的手機裡不僅有我們的個人信息,還能實現預定、消費、甚至支付等各種活動。
騰訊安全玄武實驗室負責人 於暘介紹,攻擊者完全可以把與攻擊相關的代碼,隱藏在一個看起來很正常的頁面裡面,你打開的時候,你肉眼看見的是正常的網頁,可能是個新聞、可能是個視頻、可能是個圖片,但實際上攻擊代碼悄悄地在後面執行。
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼,APP中的數據就可能被複制。
經過測試發現,“應用克隆”對許多移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。
騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。
據最新消息,目前支付寶等部分App已經修復了該漏洞,但還有10款App尚未修復;另外,部分已經修復的App仍然存在修復不完全的情況。
目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。
如何防範?
知道創宇404實驗室負責人表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施:
1、別人發給你的鏈接少點,不太確定的二維碼不要出於好奇去掃;
2、更重要的是,關注官方的升級,包括你的操作系統和手機應用,都要及時升級。
網絡安全工程師表示,如果現在把安卓操作系統和所有的手機應用都升級到最新版本,大部分的應用就可以避免克隆攻擊。
官方分析:“高危”
1月9日晚上7點半,國家互聯網應急中心在旗下的國家信息安全漏洞共享平臺對該漏洞(官方稱其為“Android WebView存在跨域訪問漏洞”)進行公告,對漏洞進行了分析,並給出了“高危”的安全評級以及修復建議:
閱讀更多 閒眠居 的文章
