查看原文
其他

赶紧自查!安卓系统曝致命漏洞!饿了么、豆瓣等被点名 | 南都早餐

2018-01-11 南方都市报



2018年1月11日,早。


安卓系统“克隆漏洞”曝光

27家App查出“克隆漏洞”


随着新年到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。


可你有没有想过,哪天当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了?而别人可以像你一样使用该账号,包括扫码支付


近日,一款针对安卓系统的隐私窃取手段被曝光。据了解,“克隆漏洞”于2012年首次被发现,2017年底由腾讯安全玄武实验室通报给工信部,目前已被编号为CNE201736682,并由国家信息安全漏洞共享平台(简称CNVD)通知存在漏洞的App厂商对之进行排查、修复。1月9日,CNVD针对“克隆漏洞”发布公告,将该漏洞综合评级为“高危”,并给出了修复建议。


“目前还没有收到修复反馈的App厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家”,国家互联网应急中心网络安全处副处长李佳向南都记者表示,对于拒不修复的将会按照《网络安全法》采取强制措施。


27家App查出“克隆漏洞”


“我们在国内安卓应用市场上检测了大概200个应用,发现有27个存在问题,其中18个App可以被远程攻击,即通过短信链接复制。另外9个App只能从本地被攻击,即通过手机上装载的恶意应用实现类似‘克隆’功能”,腾讯安全玄武安全实验室负责人于旸称。


尽管目前尚未发现有黑客利用该漏洞窃取用户隐私案例,但于旸认为,该漏洞应引起广泛关注,普通用户应对此有防范心理,而App厂商和手机厂商则应提前修复以防范于未然。


“这类攻击真实发生的时候普通用户很难防范”,网络安全公司知道创宇首席安全官周景平向南都记者表示,因为在现实的场景下,攻击者会伪装成各种各样的场景,包括链接短信、扫描二维码访问网页等。周景平建议,普通用户应该从以下方面进行防范,“别人发的链接少点,不太确定的二维码不要出于好奇扫码;其次要关注官方的升级,操作系统、各类App要及时升级。”


目前8个应用完全修复


据悉,该“克隆漏洞”仅存在于安卓系统中。目前,无论是安卓系统的安全团队还是各个安卓手机厂商的技术团队都尚未对此漏洞作出回应。


“操作系统的架构更改比较困难,考虑因素更多,很难针对每一款漏洞都作出调整”,但周景平建议,比如对开发App的个人和厂商作系统能够出些提示,在调用开发时提示可能存在克隆攻击的风险,需要怎么安全开发。”


据了解,CNVD去年12月10号向漏洞涉及的27家App企业发送漏洞安全通报,同时提供了修复方案。据李佳介绍,通知发出一周后,收到了包括支付宝、百度外卖、国美等等大部分App的主动反馈,表示已经在修复漏洞的进程中


“截至2018年1月9日,27款存在漏洞的App中有11个已进行修复,但其中有三个没有完全修复”,于旸称。此外,“目前还没有收到反馈的App厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商”,李佳向南都记者表示,对于拒不修复的将会按照《网络安全法》采取强制措施。



最后来看看“克隆漏洞”测试

↓↓

https://v.qq.com/txp/iframe/player.html?vid=x0531a7jvpo&width=500&height=375&auto=0

测试一

点击抢红包链接

支付宝账户被克隆


攻击者向用户发短信,用户点击短信中的链接,用户在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。



记者在现场借到了一部手机,经过手机机主的同意,记者决定试一下“克隆攻击”是不是真实存在。 


记者发现,中了克隆攻击之后,用户这个手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样。那么,这台克隆手机能不能正常的消费呢?记者到商场进行了简单的测试。 



通过克隆来的二维码记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。


因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。 


测试二:

点击携程页面

账户完整被克隆


攻击者向用户发一个短信,包含一个链接,用户收到了短信,点击一下短信中的链接,用户看起来是打开了一个正常的携程页面,此时攻击者已经完整的克隆了用户。所有的个人隐私信息,这个账户都可以查看到的。 



网络安全工程师告诉记者,和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。因为不会多次入侵你的手机,而是直接把你的手机应用里的内容搬出去,在其他地方操作。 和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。


专家表示,只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制


目前,“应用克隆”这一漏洞只对安卓系统有效苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。


就在前晚,国家信息安全漏洞共享平台发布公告称,安卓 WebView控件存在跨域访问漏洞。网络安全工程师告诉记者,如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击


再次提醒

安卓用户要小心了


南都记者 马宁宁

部分内容据微信公众号:央视财经(cctvyscj)


阻拦高铁女子被罚款2000元


安徽省合肥铁路公安处官方微博通报,1月5日16时44分, G1747次列车合肥站准备开车时,旅客罗某(女)以等丈夫为由,用身体强行扒阻车门关闭,不听劝阻,造成该次列车延迟发车。公安机关对此开展了调查取证。



1月10日上午,罗某到合肥站派出所主动承认了自己的错误。罗某的行为涉嫌“非法拦截列车、阻断铁路运输”,扰乱了铁路车站、列车正常秩序,违反了《铁路安全管理条例》第77条规定,依据该条例第95条规定,公安机关责令罗某认错改正,对罗某处以2000元罚款。铁路警方提醒:广大旅客出行要自觉遵守铁路运输安全相关法律法规,文明出行、安全出行。(@安徽铁路公安在线)

回顾戳↓↓

女子为等老公阻止高铁关门,视频让人气炸!系教导处副主任,已被停职!




马化腾嘻哈装扮现身腾讯北京分公司年会



昨晚(10日),马化腾现身腾讯北京分公司年会现场,马化腾变身嘻哈Boy,并深情演唱嘻哈歌曲。(新浪科技)




国家级旅游度假区:亚布力落榜


国家旅游局官网公布确定为国家级旅游度假区的名单,此前公示名单中的“黑龙江省哈尔滨市亚布力滑雪旅游度假区”未能上榜。(中新网) 


附:国家级旅游度假区名单:

海南省三亚市亚龙湾旅游度假区

浙江省湖州市安吉灵峰旅游度假区

山东省烟台市蓬莱旅游度假区

江苏省无锡市宜兴阳羡生态旅游度假区

福建省福州市鼓岭旅游度假区

江西省宜春市明月山温汤旅游度假区

安徽省合肥市巢湖半汤温泉养生度假区

贵州省赤水市赤水河谷旅游度假区

西藏自治区林芝市鲁朗小镇旅游度假区



 

赵雷演唱会少唱13首歌被罚5万


据北京市文化市场行政执法总队通报,北京某文化公司在举办“浮游赵雷2017北京演唱会”时,其申报演员演唱曲目为40首,现场演出中主要演员只演唱了申报的27首曲目,未能完成报批内容中的节目内容,且在演出前售票宣传信息中未告知消费者该场演出最低时长、最低演唱曲目信息,该演出举办单位在演出经营活动中未及时告知观众并说明理由。依据相关规定,北京市文化执法总队对该公司作出了罚款5万元的行政处罚。(南方都市报)




支付宝因年账单事件被国家网信办约谈


据中国网信网消息,针对近日的“支付宝年度账单事件”,2018年1月6日,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。支付宝和芝麻信用表示,将认真落实监管部门要求,从源头查找问题,深刻汲取教训,全面整改。(南方都市报)

回顾戳↓↓

网友怒了!还在晒支付宝年度账单的赶紧看(附补救方法)


本科平均月薪4074元 

信息安全专业最高


昨日广东省教育厅发布2017年高校毕业生就业质量年度报告,超八成已就业毕业生集中在珠三角。制造业,信息传输、软件和信息技术服务业,教育等行业占据了行业流向的前三位,共吸纳约38%的已就业毕业生。平均初次就业月薪为3685元,其中毕业研究生的平均月薪为6817元,本科毕业生的平均月薪为4074元,专科毕业生的平均月薪为3075元。


从专业来看, 2017年毕业研究生平均月薪最高的是软件工程,为13328元;本科毕业生平均月薪最高的是信息安全,为6188元。(南方都市报)




575万元的画作网上5000元能买到?


于非闇是中国近现代的工笔画大师。日前,有深圳市民在艺术品交易平台上用5000元拍下了于非闇的一幅牡丹图,临付款前才得知平台上的这幅画作并非真品,便向平台提出投诉。涉事平台回复称,经过与拍卖公司沟通,已同意退还事主的交易保证金。(南方都市报)


耿先生5000元拍到的Lot0008《富贵图》。

于非闇《富贵图》2013年拍出,成交价575万元。




人感染禽流感疫情季节已来临


1月10日中午,香港卫生防护中心宣布香港进入冬季流感高峰期,2018年截至1月9日,香港已发生25宗严重流感个案,10人死亡。南都记者从深圳市疾控中心了解到,2017年12月27日至今,深圳流感指数已连续三周保持在Ⅱ级(易发生)。此外,专家指出冬春季人感染禽流感疫情季节已来临。(南方都市报)




影院3D眼镜只售卖不租借是违规的


3D眼镜只售卖不租借成为了众多影院的潜规则,近日,深圳市消费者委员会联合福田、宝安、盐田和光明等区(新区)消委会,以“神秘顾客”调查方式对分布在全市各区的88家影院开展监督,有70家影院仅提供售卖这一种方式。消费会呼吁市民遇到情况及时投诉举报。(南方都市报)


打呼噜救了这位“尸体”



西班牙一名囚犯7日在监狱中昏厥,3名医生确认他死亡,可数小时后,意想不到的事情发生了。狱方把“尸体”放入运尸袋,送往一家法律医学研究所。不料,法医准备解剖时,却看到解剖台上已勾画出解剖标记线的“尸体”在移动,听到“尸体”打鼾并发出喘息,据此判定他还活着,随即把他送往当地一所医院接受治疗。英国《镜报》报道,这名囚犯“复活”后嘟囔着妻子的名字,问法医能否与妻子见面。他眼下状态稳定。(新华社)




英国夏洛特小公主上幼儿园啦



当地时间8日,英国夏洛特小公主迎来幼儿园第一天。英国王室发布了夏洛特当天早晨出门时摄影师为她拍摄的两张照片(红色小裙图)。这位小公主今年5月就满3岁啦。(新华社)


多云为主


 南都机器人小南播报:


好冷啊!冷得小南只想窝在被子里,呜呜。小伙伴们要注意防寒呀!未来三天广东以多云天气为主,但仍受寒潮影响,寒冷天气持续,粤北大部和珠江三角洲山区市县早晨有低温霜(冰)冻。


具体预报如下——


今天(11日),广东大部多云到晴天,粤北和珠江三角洲北部市县最低气温2~5℃,有霜(冰)冻,其中高寒山区零下2℃左右,其余市县最低气温6℃~10℃。


明天(12日)到后天(13日),广东全省晴天到多云,气温逐步回升;但早晨粤北和珠江三角洲北部市县仍有低温,部分市县有霜(冰)冻。


广州

今日:多云 6 ℃ ~ 14 ℃

明日:多云 6 ℃ ~ 16 ℃


深圳

今日:多云 7 ℃ ~ 13 ℃

明日:多云 7 ℃ ~ 14 ℃


珠海 今日:多云 9 ℃ ~ 15 ℃

佛山 今日:多云 6 ℃ ~ 15 ℃

汕头 今日:晴 7 ℃ ~ 17 ℃

东莞 今日:多云 6 ℃ ~ 15 ℃

肇庆 今日:多云 5 ℃ ~ 15 ℃

湛江 今日:多云 10 ℃ ~ 15 ℃

惠州 今日:多云 6 ℃ ~ 15 ℃

江门 今日:多云 8 ℃ ~ 14 ℃

中山 今日:多云 7 ℃ ~ 15 ℃




南都君特选(戳下方标题)

警方切开半座山,寻找一个失踪两年的男人!案情烧脑超乎想象


家长发88元红包坑老师?老师即刻返还却遭拒收,结果被处理




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存