查看原文
其他

紧急扩散!“致命”漏洞!别人可以拿自己手机,偷你的钱…

2018-01-11 头条江西




你有没有想过,

你的支付宝竟能被克隆到别人手机上,

而他可以像你一样使用账号,扫码支付!


这不是耸人听闻!

你安装的手机应用里,

真的可能存在这种漏洞!

几乎影响国内所有安卓用户!


1月9日,腾讯安全玄武实验室与知道创宇404实验室披露攻击威胁模型——“应用克隆”。在这个攻击模型视角下,很多曾被认为威胁不大、根本不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。


以支付宝为例,演示一下:


在这款升级到最新安卓8.1.0的手机上

“攻击者”向用户发送一条含恶意链接的短信

用户一旦点击,

其账户一秒钟就被“克隆”到“攻击者”手机中

从此,“攻击者”可以任意查看用户信息,

甚至可以直接操作该应用

↓↓↓

细思恐极!!!

↓↓↓

https://v.qq.com/txp/iframe/player.html?vid=k002544qxtw&width=500&height=375&auto=0

为了验证这个克隆APP是不是真能“偷”钱,记者借了一部手机,经过机主同意,进行了测试。 


记者发现,中了“克隆攻击”之后,用户手机应用中的数据都被神奇地复制到了攻击者手机上。两台手机看上去一模一样。那么,这台“”克隆手机“”能不能正常消费呢?


记者到商场买了点东西

通过克隆来的二维码,记者真的轻松地扫码消费成功。在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。


因为小额扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。 


详细戳视频

↓↓↓https://v.qq.com/txp/iframe/player.html?vid=x0531a7jvpo&width=500&height=375&auto=0

该漏洞几乎影响国内所有安卓用户

腾讯经过测试发现,“应用克隆”对大多数移动应用都有,在200个移动应用中发现27个存在漏洞,比例超过10%。


此次,腾讯安全玄武实验室发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,该漏洞几乎影响国内所有安卓用户。


目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。


“应用克隆”有多可怕?

腾讯安全玄武实验室负责人于旸表示,该攻击模型基于移动应用一些基本设计特点导致,所以几乎所有移动应用都适用该攻击模型


“应用克隆”可怕之处在于:和以往木马攻击不同,它实际上并不依靠传统木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。


网络安全工程师告诉记者,和过去攻击手段相比,克隆攻击隐蔽性更强,更不容易被发现。因为不会多次入侵你的手机,而是直接把你手机应用里的内容搬出去,在其他地方操作。 


腾讯相关负责人比喻:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在是复制了一张你的房卡,不但能随时进出,还能以你的名义在酒店消费。


修复:APP厂商需自查

更令人吃惊的事实是,这一攻击方式并非刚刚被发现。腾讯安全玄武实验室通过国家互联网应急中心向厂商通报了相关信息,并给出修复方案,避免该漏洞被不法分子利用。另外,玄武实验室将提供“玄武支援计划”协助处理。


于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室愿意提供相关技术援助。


用户如何进行防范?

普通用户最关心的是如何防范这一攻击?知道创宇404实验室负责人表示,普通用户防范比较头疼,但仍有一些通用的安全措施:


首先是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;


更重要的是,要关注官方升级,包括操作系统和手机应用,有小红点出来时一定要及时升级。目前支付宝、饿了么等主流APP已经主动修复了该漏洞,用户只需升级到最新版本。


太恐怖了!

赶紧扩散给更多人知道!


推荐阅读:


整个朋友圈都在心疼这个“冰花”男孩!看了他,你还有什么好抱怨的?


为什么年轻时要多赚钱?这是我听过最好的回答!


来源/新华社

监制/林淡 主编/邱黎 编辑/王凯丰


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存