防骗资讯

安卓曝“克隆漏洞”,别人手机竟能操控自己钱包!

来源:南方都市报、央视财经、经济日报 2018年01月11日 18:00

随着新年到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。


可你有没有想过,当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了,而别人可以像你一样使用该账号,包括扫码支付。


这不是耸人听闻,你安装的手机应用里,真的可能存在这种漏洞。


近日,一个针对安卓系统的隐私窃取手段被曝光。先通过一个演示来了解它,以支付宝为例:

在升级到最新安卓8.1.0的手机上


攻击者向用户发送一条包含恶意链接的手机短信


用户一旦点击,其账户一秒钟就被“克隆”到攻击者的手机中


然后攻击者就可以任意查看用户信息,并可直接操作该应用


为了验证这个克隆APP是不是真的能花钱,记者进行了测试。


中了克隆攻击之后,手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样,随后记者到商场买了点东西。


通过克隆来的二维码,记者轻松扫码消费成功。在被克隆的手机上,这笔消费已经悄悄出现在支付宝账单中。小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者完全可以用自己的手机,花别人的钱。

漏洞几乎影响所有安卓用户

腾讯经过测试发现,“克隆漏洞”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。


此漏洞至少涉及国内安卓应用市场十分之一的APP,一些主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。


目前,“克隆漏洞”只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。


“克隆漏洞”有多可怕?

和以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。


就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。


克隆攻击的隐蔽性更强,更不容易被发现。它不会多次入侵你的手机,而是直接把你的手机应用里的内容搬出去,在其他地方操作。


修复:APP厂商需自查

据了解,“克隆漏洞”于2012年首次被发现,2017年底腾讯安全玄武实验室通报给工信部,目前已被编号为CNE201736682,并由国家信息安全漏洞共享平台(CNVD)通知存在漏洞的App厂商对之进行排查、修复。


日前,CNVD针对“克隆漏洞”发布公告,将该漏洞综合评级为“高危”,并给出了修复建议。由于对该漏洞的检测无法自动化完成,必须人工分析,所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。

腾讯1月9日检测结果


用户如何进行防范?

只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制。


因此别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;更重要的是关注官方的升级,包括操作系统和手机应用。目前支付宝、饿了么等主流APP已主动修复了该漏洞,用户升级到最新版本即可避免攻击。

即时新闻
    热点文章