随着新年到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。可你有没有想过,哪天当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了?而别人可以像你一样使用该账号,包括扫码支付。
这不是小编耸人听闻,你安装的手机应用里,真的可能存在这种漏洞。
1月9日,腾讯安全玄武实验室与知道创宇实验室披露攻击威胁模型——“应用克隆”。先通过一个演示来了解它,以支付宝为例:
在升级到最新安卓8.1.0的手机上↓
“攻击者”向用户发送一条包含恶意链接的手机短信↓
用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中↓
然后“攻击者”就可以任意查看用户信息,并可直接操作该应用↓
详情戳视频↓↓↓
你的手机会被影响吗?有什么防范的方法?在这个“可怕”的攻击威胁背后,又折射出怎样的移动互联网时代安全新形势?
国内10%安卓应用存在“应用克隆”漏洞腾讯安全玄武实验室负责人于旸表示,该攻击模型基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。
经过测试,“应用克隆”对大多数移动应用都有效,在个移动应用中发现27个存在漏洞,比例超过10%。玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。
目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。
“应用克隆”有多可怕?“应用克隆”的可怕之处在于:和以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”
这一消息已被及时以各种方式传递出去,但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示,接到腾讯的通报后,“我们也组织相关的单位和专家进行了认真分析和研判”,国家互联网应急中心网络安全处副处长的李佳则介绍说,年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台,在经过相关技术人员验证后,国家信息安全漏洞共享平台为这一漏洞分配了编号CNE36682,并于10日向这27个应用设计的企业发送了点对点安全通报:”在发出通报后不久就收到了包括支付宝、百度外卖,国美等大部分厂商的主动反馈,表示他们已开始漏洞修复,但截至8日,京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商还未收到相关反馈。”
于旸也表示,截至9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用进行了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。而在9日技术研究成果发布会现场演示中,仍然可以用这种方式“克隆”携程安卓版手机应用,在“克隆”后尚能看到用户的交易记录。
↑玄武实验室9日检测结果
这从某种意义上显示出国内部分手机应用厂商安全意识的薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞的影响的应用占总体比例比国内少不少。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上和国外同行相比确实有一定差距。”
用户如何进行防范?而普通用户最关心的则是如何能对这一攻击方式进行防范。知道创宇实验室负责人周景平回答本报记者提问时表示,普通用户的防范比较头疼,但仍有一些通用的安全措施:
一是别人发给你的链接少点,不太确定的京城白癜风康复天使北京治疗白癜风术要多少钱