安卓手機出現漏洞!點開紅包鏈接,別人就可以隨意花你的錢!

有溫度 有態度 有深度 正能量 更潮 更好的生活方式

點擊題目下方藍字關注 鄭州潮玩樂


隨著新年到來,小夥伴們開始頻繁地收發紅包,有朋友間的互送,也有商家的推廣活動。可你有沒有想過,哪天當你點開一個紅包鏈接,自己的支付寶信息瞬間在另一個手機上被“克隆”了?而別人可以像你一樣使用該賬號,包括掃碼支付。

這不是小編聳人聽聞,你安裝的手機應用裏,真的可能存在這種漏洞。1月9日,騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。

先通過一個演示來了解它,以支付寶為例:

在升級到最新安卓8.1.0的手機上↓


“攻擊者”向用戶發送一條包含惡意鏈接的手機短信↓




用戶一旦點擊,其賬戶一秒鍾就被“克隆”到“攻擊者”的手機中↓



然後“攻擊者”就可以任意查看用戶信息,並可直接操作該應用↓



詳情戳視頻↓↓↓



你的手機會被影響嗎?

有什麼防範的方法?


在這個“可怕”的攻擊威脅背後,

又折射出怎樣的移動互聯網時代安全新形勢?



1


漏洞幾乎影響國內所有安卓用戶


騰訊經過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。


騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。


目前,“應用克隆”這一漏洞隻對安卓係統有效,蘋果手機則不受影響。


另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。



2


“應用克隆”有多可怕?


應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。


騰訊相關負責人比喻:


“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是複製了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”


↑玄武實驗室9日檢測結果



3


用戶如何進行防範?


而普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施:


一是別人發給你的鏈接少點,不太確定的二維碼不要出於好奇去掃;


更重要的是,要關注官方的升級,包括你的操作係統和手機應用,真的需要及時升級。



4


漏洞:尚未形成危害就被捕捉


一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表示:“整個攻擊當中涉及的每一個風險點,其實都有人提過。”


那麼為什麼這種危害巨大的攻擊方式此前卻既未被安全廠商發覺,也未有攻擊案例發生?


“這是新的多點耦合產生的漏洞。”該負責人打了一個比喻,“這就像是網線插頭上有個凸起,結果路由器在插口位置上正好設計了一個重置按鈕。“


網線本身沒有問題,路由器也沒有問題,但結果是你一插上網線,路由器就重啟。多點耦合也是這樣,每一個問題都是已知的,但組合起來卻帶來了額外風險。”


多點耦合的出現,其實正意味著網絡安全形勢的變化。硬幣的一麵是漏洞“聯合作戰”的“乘法效應”,另一麵則是防守者們形成的合力。


在移動時代,最重要的是用戶賬號體係和數據的安全。


而保護好這些,光搞好係統自身安全遠遠不夠,需要手機廠商、應用開發商、網絡安全研究者等多方攜手。


在這裏,小編也提醒大家,一定要注意個人的信息財產安全!


來源:經濟日報,版權歸原作者所有


點讚、轉發支持小編!