隨著新年到來�,小伙伴們開始頻繁地收發(fā)紅包,有朋友間的互送�����,也有商家的推廣活動���。
可你有沒有想過����,哪天當你點開一個紅包鏈接�����,自己的支付寶信息瞬間在另一個手機上被“克隆”了?而別人可以像你一樣使用該賬號,包括掃碼支付�����。
這種克隆攻擊到底有多大危害?大家又該怎樣防止被克隆呢?
就在9號下午�����,一種針對安卓手機操作系統(tǒng)的新型攻擊危險被公布�����,這種“攻擊”能瞬間把你手機的應用��,克隆到攻擊者的手機上����,并克隆你的支付二維碼�,進行隱蔽式盜刷。
瞬間克隆手機應用 花你的錢不用商量
攻擊者向用戶發(fā)短信�,用戶點擊短信中的鏈接,用戶在自己的手機上看到的是一個真實的搶紅包網(wǎng)頁��,攻擊者則已經(jīng)在另一臺手機上完成了克隆支付寶賬戶的操作。賬戶名用戶頭像完全一致�。
央視財經(jīng)記者在現(xiàn)場借到了一部手機,經(jīng)過手機機主的同意�����,記者決定試一下“克隆攻擊”是不是真實存在���。
記者發(fā)現(xiàn)��,中了克隆攻擊之后����,用戶這個手機應用中的數(shù)據(jù)被神奇地復制到了攻擊者的手機上��,兩臺手機看上去一模一樣�。那么,這臺克隆手機能不能正常的消費呢?記者到商場進行了簡單的測試���。
通過克隆來的二維碼�,記者在商場輕松地掃碼消費成功����。記者在被克隆的手機上看到�����,這筆消費已經(jīng)悄悄出現(xiàn)在支付寶賬單中�����。
因為小額的掃碼支付不需要密碼��,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機���,花別人的錢��。
網(wǎng)絡安全工程師告訴記者�����,和過去的攻擊手段相比��,克隆攻擊的隱蔽性更強����,更不容易被發(fā)現(xiàn)�����。因為不會多次入侵你的手機,而是直接把你的手機應用里的內容搬出去���,在其他地方操作��。和過去的攻擊手段相比��,克隆攻擊的隱蔽性更強�,更不容易被發(fā)現(xiàn)��。
“應用克隆”有多可怕?
“應用克隆”的可怕之處在于:和以往的木馬攻擊不同���,它實際上并不依靠傳統(tǒng)的木馬病毒����,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用�。
騰訊相關負責人比喻:“這就像過去想進入你的酒店房間,需要把鎖弄壞����,但現(xiàn)在的方式是復制了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費�����?����!?/p>
騰訊安全玄武實驗室研究員 王永科表示�,攻擊者可以在他的手機上完全地操作賬戶,包括查看隱私信息����,甚至還可以盜用里面的錢財。
智能手機�,在我們生活中扮演的角色越來越重要����。我們的手機里不僅有我們的個人信息,還能實現(xiàn)預定���、消費����、甚至支付等各種活動。這種克隆攻擊有多大危害?大家又該怎樣防止被克隆呢?
騰訊安全玄武實驗室負責人
于旸介紹����,攻擊者完全可以把與攻擊相關的代碼,隱藏在一個看起來很正常的頁面里面����,你打開的時候,你肉眼看見的是正常的網(wǎng)頁���,可能是個新聞�����、可能是個視頻��、可能是個圖片�����,但實際上攻擊代碼悄悄的在后面執(zhí)行�。
專家表示���,只要手機應用存在漏洞�����,一旦點擊短信中的攻擊鏈接�����,或者掃描惡意的二維碼�,APP中的數(shù)據(jù)都可能被復制。
騰訊經(jīng)過測試發(fā)現(xiàn)���,“應用克隆”對大多數(shù)移動應用都有效��,在200個移動應用中發(fā)現(xiàn)27個存在漏洞�,比例超過10%�。
騰訊安全玄武實驗室此次發(fā)現(xiàn)的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶��、餓了么等多個主流APP均存在漏洞��,所以該漏洞幾乎影響國內所有安卓用戶�。
目前�����,“應用克隆”這一漏洞只對安卓系統(tǒng)有效,蘋果手機則不受影響�。另外,騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊�。
現(xiàn)場展示:
攻擊者向用戶發(fā)一個短信,包含一個鏈接����,用戶收到了短信,點擊一下短信中的鏈接��,用戶看起來是打開了一個正常的攜程頁面���,此時攻擊者已經(jīng)完整的克隆了用戶����。所有的個人隱私信息���,這個賬戶都可以查看到的���。
就在昨晚,國家信息安全漏洞共享平臺發(fā)布公告稱�,安卓
WebView控件存在跨域訪問漏洞。網(wǎng)絡安全工程師告訴記者�,如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機應用都升級到最新版本�,大部分的應用就可以避免克隆攻擊�����。
用戶如何進行防范?
普通用戶最關心的則是如何能對這一攻擊方式進行防范�。知道創(chuàng)宇404實驗室負責人回答本報記者提問時表示,普通用戶的防范比較頭疼�����,但仍有一些通用的安全措施:
一是別人發(fā)給你的鏈接少點�,不太確定的二維碼不要出于好奇去掃;
更重要的是,要關注官方的升級�,包括你的操作系統(tǒng)和手機應用,真的需要及時升級�。
漏洞:尚未形成危害就被捕捉
一個令人吃驚的事實是,這一攻擊方式并非剛剛被發(fā)現(xiàn)���。騰訊相關負責人表示:“整個攻擊當中涉及的每一個風險點��,其實都有人提過����?���!?/p>
那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發(fā)覺,也未有攻擊案例發(fā)生?
“這是新的多點耦合產生的漏洞����。”該負責人打了一個比喻����,“這就像是網(wǎng)線插頭上有個凸起,結果路由器在插口位置上正好設計了一個重置按鈕�。“
網(wǎng)線本身沒有問題���,路由器也沒有問題�����,但結果是你一插上網(wǎng)線���,路由器就重啟。多點耦合也是這樣���,每一個問題都是已知的���,但組合起來卻帶來了額外風險�����?!?/p>
多點耦合的出現(xiàn)����,其實正意味著網(wǎng)絡安全形勢的變化。硬幣的一面是漏洞“聯(lián)合作戰(zhàn)”的“乘法效應”����,另一面則是防守者們形成的合力。
在移動時代����,最重要的是用戶賬號體系和數(shù)據(jù)的安全。而保護好這些����,光搞好系統(tǒng)自身安全遠遠不夠,需要手機廠商�����、應用開發(fā)商、網(wǎng)絡安全研究者等多方攜手����。
中研網(wǎng) 發(fā)現(xiàn)資訊的價值 
研究院 掌握產業(yè)最新情報 
安卓系統(tǒng)曝致命漏洞 別人拿自己手機就能偷刷你的錢 
