资讯频道|网友问答|文章排行|网站标签|RSS订阅
当前位置:首页 > 手机资讯

手机系统重大漏洞:支付宝等应用能克隆,被人操控!

2340 分类:手机资讯 | 来源:武汉移动微客服 | 时间:2018年01月12日 07:48:48

国内安全机构披露,检测发现国内安卓应用市场十分之一的App存在漏洞而容易被进行“应用克隆”攻击,甚至国内用户上亿的多个主流App均存在这类漏洞,几乎影响国内所有安卓用户

国家信息安全漏洞共享平台(CNVD)表示,攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对App用户账户的完全控制

腾讯安全玄武实验室与知道创宇404实验室披露攻击威胁模型——“应用克隆”。先通过一个演示来了解它,以支付宝为例:

在升级到最新安卓8.1.0的手机上↓

“攻击者”向用户发送一条包含恶意链接的手机短信↓

用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中↓

然后“攻击者”就可以任意查看用户信息,并可直接操作该应用↓

甚至是消费!

通过“克隆”来的二维码,居然能在商场轻松扫码消费!因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者完全可以用自己手机花别人的钱!

你的手机会被影响吗?

有什么防范的方法?

国内10%安卓应用存在“应用克隆”漏洞

经过测试,“应用克隆”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。

玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。

“应用克隆”有多可怕?

“应用克隆”的可怕之处在于:和以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。

“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”

↑玄武实验室9日检测结果

国家信息安全漏洞共享平台为这一漏洞分配了编号CNE201736682,并向这27个应用设计的企业发送了点对点安全通报。

截至9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用进行了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。

如何进行防范?

对于我们普通用户最关心的则是如何能对这一攻击方式进行防范。

知道创宇404实验室负责人表示,普通用户的防范比较头疼,但仍有一些通用的安全措施:

一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫

更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。

来源:经济日报、央视财经、广州日报

注:部分图文来自网络,本文对文中观点保持中立,对内容的准确性、可靠性、完整性不提供任何明示或暗示的保证,不对文章观点负责,仅作分享之用,文章版权及插图属于原作者。

下一篇 » « 上一篇

发表评论

虚拟运营商微信公众平台
虚商论坛 虚拟运营商微信公众平台