原创 | 央视曝光致命漏洞,用支付宝的注意!
瞬间克隆,花你的钱不商量
9日下午,一种针对安卓手机操作系统的新型攻击危险被公布,这种“攻击”能瞬间把你手机的应用,克隆到攻击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。
攻击者向用户发短信,用户点击短信中的链接,用户在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。
以支付宝为例,先通过一个演示来了解它:
在升级到最新安卓8.1.0的手机上↓
“攻击者”向用户发送一条包含恶意链接的手机短信↓
用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中↓
然后“攻击者”就可以任意查看用户信息,并可直接操作该应用↓
央视记者在现场借到了一部手机,经过手机机主的同意,记者决定试一下“克隆攻击”是不是真实存在。
记者发现,中了克隆攻击之后,用户这个手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样。那么,这台克隆手机能不能正常地消费呢?记者到商场进行了简单的测试。
通过克隆来的二维码,记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。
视频如下:
https://v.qq.com/txp/iframe/player.html?vid=l0531il7k4p&width=500&height=375&auto=0
因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。
而短信只是其中一种诱导方式,该漏洞还可以被黑客隐藏在二维码、新闻页面等,只要用户不小心点到了就会中招。
黑客是否可以连用户的支付密码也“克隆”?专家表示:“就支付宝而言,密码是拿不到的。但有些App因为还存在其它漏洞,在克隆后,再配合其它漏洞真的可以拿到密码,完完全全控制账号。”
经过测试发现,“应用克隆”对许多移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。
腾讯安全玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。
据最新消息,目前支付宝等部分App已经修复了该漏洞,但还有10款App尚未修复;另外,部分已经修复的App仍然存在修复不完全的情况。
目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。
如何防范?
知道创宇404实验室负责人表示,普通用户的防范比较头疼,但仍有一些通用的安全措施:
1、别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;
2、更重要的是,关注官方的升级,包括你的操作系统和手机应用,都要及时升级。
网络安全工程师表示,如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击。
官方分析:“高危”
1月9日晚上7点半,国家互联网应急中心在旗下的国家信息安全漏洞共享平台对该漏洞(官方称其为“Android WebView存在跨域访问漏洞”)进行公告,对漏洞进行了分析,并给出了“高危”的安全评级以及修复建议:
点击下方 蓝色字体 查看 更多精彩内容↓↓↓
任何一次商机的到来,都必将经历四个阶段:“看不见“、“看不起“、“看不懂”、“来不及”
原创 | 阻碍我们云付成功的几大因素 和什么人来合作云付必定成功
目前100000+人已关注加入我们
点击
点击
点击下方 蓝色字体 查看 更多精彩内容↓↓↓
任何一次商机的到来,都必将经历四个阶段:“看不见“、“看不起“、“看不懂”、“来不及”
原创 | 阻碍我们云付成功的几大因素 和什么人来合作云付必定成功
目前100000+人已关注加入我们
点击
点击