|
隨著新年到來�����,小伙伴們開始頻繁地收發(fā)紅包�,有朋友間的互送,也有商家的推廣活動�����。
可你有沒有想過,哪天當(dāng)你點(diǎn)開一個(gè)紅包鏈接�,自己的支付寶信息瞬間在另一個(gè)手機(jī)上被“克隆”了?而別人可以像你一樣使用該賬號��,包括掃碼支付���。
瞬間克隆手機(jī)應(yīng)用 花你的錢不用商量
1月9日�,某網(wǎng)絡(luò)公司網(wǎng)絡(luò)安全部門披露攻擊威脅模型——“應(yīng)用克隆”���。
以支付寶為例:
在升級到最新安卓8.1.0的手機(jī)上↓
“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信↓
用戶一旦點(diǎn)擊�����,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中↓
然后“攻擊者”就可以任意查看用戶信息���,并可直接操作該應(yīng)用↓
因?yàn)樾☆~的掃碼支付不需要密碼,一旦中了克隆攻擊�����,攻擊者就完全可以用自己的手機(jī)�,花別人的錢���。
網(wǎng)絡(luò)安全工程師說,和過去的攻擊手段相比���,克隆攻擊的隱蔽性更強(qiáng)���,更不容易被發(fā)現(xiàn)。因?yàn)椴粫啻稳肭帜愕氖謾C(jī)����,而是直接把你的手機(jī)應(yīng)用里的內(nèi)容搬出去�����,在其他地方操作�。
“應(yīng)用克隆”有多可怕?
“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同���,它實(shí)際上并不依靠傳統(tǒng)的木馬病毒��,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用��。
就像過去想進(jìn)入你的酒店房間�,需要把鎖弄壞,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡���,不但能隨時(shí)進(jìn)出��,還能以你的名義在酒店消費(fèi)��。
網(wǎng)絡(luò)安全中心負(fù)責(zé)人介紹���,攻擊者完全可以把與攻擊相關(guān)的代碼,隱藏在一個(gè)看起來很正常的頁面里面�,你打開的時(shí)候,你肉眼看見的是正常的網(wǎng)頁��,可能是個(gè)新聞���、可能是個(gè)視頻�����、可能是個(gè)圖片�,但實(shí)際上攻擊代碼悄悄的在后面執(zhí)行�。
經(jīng)過測試發(fā)現(xiàn),“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效,此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP���,如支付寶���、餓了么等多個(gè)主流APP均存在漏洞,所以該漏洞幾乎影響國內(nèi)所有安卓用戶���。
目前�����,“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效�����,蘋果手機(jī)則不受影響。另外��,騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊�����。
網(wǎng)絡(luò)安全工程師說�,如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機(jī)應(yīng)用都升級到最新版本,大部分的應(yīng)用就可以避免克隆攻擊�。
普通用戶最關(guān)心的則是如何能對這一攻擊方式進(jìn)行防范��。普通用戶的防范比較頭疼���,但仍有一些通用的安全措施:
一是別人發(fā)給你的鏈接少點(diǎn),不太確定的二維碼不要出于好奇去掃�;
更重要的是,要關(guān)注官方的升級����,包括你的操作系統(tǒng)和手機(jī)應(yīng)用,真的需要及時(shí)升級���。
那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發(fā)覺�����,也未有攻擊案例發(fā)生����?
“這是新的多點(diǎn)耦合產(chǎn)生的漏洞?����!痹撠?fù)責(zé)人打了一個(gè)比喻�����,“這就像是網(wǎng)線插頭上有個(gè)凸起��,結(jié)果路由器在插口位置上正好設(shè)計(jì)了一個(gè)重置按鈕��?!?/span>
在移動時(shí)代,最重要的是用戶賬號體系和數(shù)據(jù)的安全��。而保護(hù)好這些�����,光搞好系統(tǒng)自身安全遠(yuǎn)遠(yuǎn)不夠����,需要手機(jī)廠商�、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手。
寶小妹提醒大家平時(shí)一定要注意使用手機(jī)的一些好習(xí)慣�����,尤其是涉及到隱私和金錢?����。�。?/span>
快轉(zhuǎn)發(fā)讓更多人知道�����!
|
