山水网

帖子
查看: 4966|回复: 3

[焦点话题] 警惕!别人拿自己的手机,可以偷刷你的钱! [复制链接]

     

进士

发表于 2018-1-14 10:14:16 资料 短信 搜索 |显示全部楼层
免责声明:本文仅代表作者个人观点,与山水网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
安卓系统曝“致命”漏洞

当前,无论是朋友间还是商家的推广,用手机收发红包越来越成为更多人的选择。可你有没有想过,当你点开一个红包链接时,自己的支付宝信息会瞬间在另一个手机上被“克隆”,而对方可以像你一样自由使用该账号进行扫码支付……

9日下午,一种针对安卓手机操作系统的新型攻击危险被公布,这种“攻击”能瞬间把手机应用,克隆到攻击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。

瞬间克隆手机应用 花你的钱不用商量

攻击者向用户发送短信,用户点击短信中的链接后,在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作,账户名、用户头像等信息完全一致。

“克隆攻击”是否真实存在呢?记者决定现场试验一下。通过试验发现,中了克隆攻击之后,用户手机应用中的数据被完全复制到了攻击者的手机上,两台手机看上去一模一样。而克隆的二维码,也可以在商场里扫码消费成功,这笔消费已经悄悄出现在了被克隆手机的支付宝账单中。

因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者完全可以用自己的手机,花别人的钱。

网络安全工程师称,由于该操作不会多次入侵手机,而是直接把手机应用里的内容搬出去,在其他地方操作。和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。

“应用克隆”可能波及国内所有安卓用户

“应用克隆”的可怕之处在于:和以往的木马攻击不同,它并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。 

相关网络专家比喻:“就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”

据了解,攻击者会把与攻击相关的代码,隐藏在一个看起来很正常的页面里面,当你打开的时候,看见的是正常的网页,可能是个新闻、可能是个视频、可能是个图片,但实际上攻击代码正悄悄地运行。只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制。

目前漏洞已被捕捉 尚未形成危害 

现场展示:


攻击者向用户发一个短信,包含一个链接,用户收到了短信,点击一下短信中的链接,用户看起来是打开了一个正常的页面,此时攻击者已经完整的克隆了用户。所有的个人隐私信息,这个账户都可以查看到的。

通过测试发现,“应用克隆”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。试验发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,因此该漏洞几乎影响国内所有安卓用户。

目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机不受影响。另外,目前尚未有已知案例利用这种途径发起攻击。

提醒:不要随意点击链接 及时更新升级系统

网络安全工程师提醒:

如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击。

此外,尽量不要随意点击别人发的链接,不太确定的二维码不要去扫;关注官方的升级更新提醒,包括操作系统和手机应用。

     

八品金沙千总

发表于 2018-1-14 10:27:14 资料 短信 搜索 |显示全部楼层
这个贴很有价值,大家一起警惕
山水帮帮设置悬赏提问,并在广播台滚动显示,暴光率更大,有问题就到山水帮帮!

发表于 2018-1-14 18:04:55 来自手机 资料 短信 搜索 |显示全部楼层
山水帮帮设置悬赏提问,并在广播台滚动显示,暴光率更大,有问题就到山水帮帮!
     

正五品知州

发表于 2018-1-14 20:10:12 来自手机 资料 短信 搜索 |显示全部楼层
把所有小额免密支付都关了!包括嘀嘀打车
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则



网站简介  | 公司简介 | 网站荣誉 | 网站地图 | 业务介绍 | 律师声明 | 联系我们
版权所有:山水网 商家合作:82839661 站务热线:0519-82839661/82899391 客服QQ:3350372350 微信号:13915828302
信息产业部备案/许可证编号:苏ICP备10220733号-3 经营性ICP:苏B-20110047号 3sjt 技术支持
返回顶部