央视曝光致命漏洞,用支付宝的赶紧看!

《央视曝光致命漏洞,用支付宝的赶紧看!》系傻大方资讯网小编转载,希望对您有所帮助。 点击“互联网第一线”关注

爆料互联网、电子商务、O2O、移动互联网、商业、趋势、创业等干货!深度分析、内幕小道!拒绝鸡汤,乐趣分享!

央视曝光致命漏洞,用支付宝的赶紧看!

综合:21早新闻 资料:央视财经、经济日报、腾讯网、虎嗅网

抢红包了!

央视曝光致命漏洞,用支付宝的赶紧看!

你有没有想过,

哪天当你点开一个红包,

你的支付宝信息瞬间被“克隆”,

然后别人就可以用你的账号,

刷你的钱!

瞬间克隆,花你的钱不商量

9日下午,一种针对安卓手机操作系统的新型攻击危险被公布,这种“攻击”能瞬间把你手机的应用,克隆到攻击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。

攻击者向用户发短信,用户点击短信中的链接,用户在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。

以支付宝为例,先通过一个演示来了解它:

在升级到最新安卓8.1.0的手机上

央视曝光致命漏洞,用支付宝的赶紧看!

“攻击者”向用户发送一条包含恶意链接的手机短信

央视曝光致命漏洞,用支付宝的赶紧看!


用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中

央视曝光致命漏洞,用支付宝的赶紧看!

央视曝光致命漏洞,用支付宝的赶紧看!

央视曝光致命漏洞,用支付宝的赶紧看!

然后“攻击者”就可以任意查看用户信息,并可直接操作该应用

央视曝光致命漏洞,用支付宝的赶紧看!

央视曝光致命漏洞,用支付宝的赶紧看!

央视记者在现场借到了一部手机,经过手机机主的同意,记者决定试一下“克隆攻击”是不是真实存在。 



记者发现,中了克隆攻击之后,用户这个手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样。那么,这台克隆手机能不能正常地消费呢?记者到商场进行了简单的测试。 

央视曝光致命漏洞,用支付宝的赶紧看!

通过克隆来的二维码,记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。

视频如下



智能手机,在我们生活中扮演的角色越来越重要。我们的手机里不仅有我们的个人信息,还能实现预定、消费、甚至支付等各种活动。



腾讯安全玄武实验室负责人 于旸介绍,攻击者完全可以把与攻击相关的代码,隐藏在一个看起来很正常的页面里面,你打开的时候,你肉眼看见的是正常的网页,可能是个新闻、可能是个视频、可能是个图片,但实际上攻击代码悄悄地在后面执行。

央视曝光致命漏洞,用支付宝的赶紧看!

专家表示,只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据就可能被复制。

经过测试发现,“应用克隆”对许多移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。

央视曝光致命漏洞,用支付宝的赶紧看!

图片来源:虎嗅网

腾讯安全玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

据最新消息,目前支付宝等部分App已经修复了该漏洞,但还有10款App尚未修复;另外,部分已经修复的App仍然存在修复不完全的情况。

目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。

如何防范?

知道创宇404实验室负责人表示,普通用户的防范比较头疼,但仍有一些通用的安全措施:

1、别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;

2、更重要的是,关注官方的升级,包括你的操作系统和手机应用,都要及时升级。

网络安全工程师表示,如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击。

官方分析:“高危”

1月9日晚上7点半,国家互联网应急中心在旗下的国家信息安全漏洞共享平台对该漏洞(官方称其为“Android WebView存在跨域访问漏洞”)进行公告,对漏洞进行了分析,并给出了“高危”的安全评级以及修复建议:

央视曝光致命漏洞,用支付宝的赶紧看!

央视曝光致命漏洞,用支付宝的赶紧看!

央视曝光致命漏洞,用支付宝的赶紧看!
期待你的神评论