|
隨著新年到來���,小伙伴們開始頻繁地收發(fā)紅包�����,有朋友間的互送�����,也有商家的推廣活動���。
可你有沒有想過��,哪天當你點開一個紅包鏈接����,自己的支付寶信息瞬間在另一個手機上被“克隆”了�?而別人可以像你一樣使用該賬號,包括掃碼支付�。
1月9日,某網(wǎng)絡(luò)公司網(wǎng)絡(luò)安全部門披露攻擊威脅模型——“應(yīng)用克隆”���。
以支付寶為例:
在升級到最新安卓8.1.0的手機上↓
“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信↓
用戶一旦點擊��,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中↓
然后“攻擊者”就可以任意查看用戶信息��,并可直接操作該應(yīng)用↓
因為小額的掃碼支付不需要密碼�����,一旦中了克隆攻擊�����,攻擊者就完全可以用自己的手機���,花別人的錢����。
網(wǎng)絡(luò)安全工程師說�����,和過去的攻擊手段相比����,克隆攻擊的隱蔽性更強����,更不容易被發(fā)現(xiàn)�����。因為不會多次入侵你的手機���,而是直接把你的手機應(yīng)用里的內(nèi)容搬出去,在其他地方操作��。
“應(yīng)用克隆”有多可怕�����?
“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同�����,它實際上并不依靠傳統(tǒng)的木馬病毒�,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用。
就像過去想進入你的酒店房間�����,需要把鎖弄壞���,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡�����,不但能隨時進出�����,還能以你的名義在酒店消費����。
網(wǎng)絡(luò)安全中心負責人介紹,攻擊者完全可以把與攻擊相關(guān)的代碼��,隱藏在一個看起來很正常的頁面里面�,你打開的時候,你肉眼看見的是正常的網(wǎng)頁�,可能是個新聞、可能是個視頻�����、可能是個圖片�,但實際上攻擊代碼悄悄的在后面執(zhí)行��。
經(jīng)過測試發(fā)現(xiàn),“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效����,此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP,如支付寶�、餓了么等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內(nèi)所有安卓用戶�。
目前,“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效��,蘋果手機則不受影響�����。另外�����,騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊���。
網(wǎng)絡(luò)安全工程師說�����,如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機應(yīng)用都升級到最新版本�����,大部分的應(yīng)用就可以避免克隆攻擊��。
普通用戶最關(guān)心的則是如何能對這一攻擊方式進行防范。普通用戶的防范比較頭疼����,但仍有一些通用的安全措施:
一是別人發(fā)給你的鏈接少點,不太確定的二維碼不要出于好奇去掃��;
更重要的是�����,要關(guān)注官方的升級�����,包括你的操作系統(tǒng)和手機應(yīng)用����,真的需要及時升級。
那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發(fā)覺����,也未有攻擊案例發(fā)生?
“這是新的多點耦合產(chǎn)生的漏洞���?�!痹撠撠熑舜蛄艘粋€比喻����,“這就像是網(wǎng)線插頭上有個凸起���,結(jié)果路由器在插口位置上正好設(shè)計了一個重置按鈕���。“
在移動時代���,最重要的是用戶賬號體系和數(shù)據(jù)的安全�����。而保護好這些�����,光搞好系統(tǒng)自身安全遠遠不夠��,需要手機廠商�、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手�。
寶小妹提醒大家平時一定要注意使用手機的一些好習(xí)慣,尤其是涉及到隱私和金錢?��。�����?!
快轉(zhuǎn)發(fā)讓更多人知道�!
|
