隨著新年到來(lái),小伙伴們開(kāi)始頻繁地收發(fā)紅包���,有朋友間的互送�����,也有商家的推廣活動(dòng)���。
可你有沒(méi)有想過(guò)��,哪天當(dāng)你點(diǎn)開(kāi)一個(gè)紅包鏈接�����,自己的支付寶信息瞬間在另一個(gè)手機(jī)上被“克隆”了?而別人可以像你一樣使用該賬號(hào)����,包括掃碼支付���。
這種克隆攻擊到底有多大危害?大家又該怎樣防止被克隆呢?
就在9號(hào)下午����,一種針對(duì)安卓手機(jī)操作系統(tǒng)的新型攻擊危險(xiǎn)被公布����,這種“攻擊”能瞬間把你手機(jī)的應(yīng)用,克隆到攻擊者的手機(jī)上,并克隆你的支付二維碼���,進(jìn)行隱蔽式盜刷。
瞬間克隆手機(jī)應(yīng)用 花你的錢(qián)不用商量
攻擊者向用戶(hù)發(fā)短信�,用戶(hù)點(diǎn)擊短信中的鏈接,用戶(hù)在自己的手機(jī)上看到的是一個(gè)真實(shí)的搶紅包網(wǎng)頁(yè)�,攻擊者則已經(jīng)在另一臺(tái)手機(jī)上完成了克隆支付寶賬戶(hù)的操作。賬戶(hù)名用戶(hù)頭像完全一致��。
央視財(cái)經(jīng)記者在現(xiàn)場(chǎng)借到了一部手機(jī)�����,經(jīng)過(guò)手機(jī)機(jī)主的同意����,記者決定試一下“克隆攻擊”是不是真實(shí)存在。
記者發(fā)現(xiàn)����,中了克隆攻擊之后,用戶(hù)這個(gè)手機(jī)應(yīng)用中的數(shù)據(jù)被神奇地復(fù)制到了攻擊者的手機(jī)上�,兩臺(tái)手機(jī)看上去一模一樣。那么�����,這臺(tái)克隆手機(jī)能不能正常的消費(fèi)呢?記者到商場(chǎng)進(jìn)行了簡(jiǎn)單的測(cè)試。
通過(guò)克隆來(lái)的二維碼�����,記者在商場(chǎng)輕松地掃碼消費(fèi)成功����。記者在被克隆的手機(jī)上看到,這筆消費(fèi)已經(jīng)悄悄出現(xiàn)在支付寶賬單中��。
因?yàn)樾☆~的掃碼支付不需要密碼����,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機(jī)��,花別人的錢(qián)���。
網(wǎng)絡(luò)安全工程師告訴記者��,和過(guò)去的攻擊手段相比��,克隆攻擊的隱蔽性更強(qiáng)���,更不容易被發(fā)現(xiàn)�����。因?yàn)椴粫?huì)多次入侵你的手機(jī),而是直接把你的手機(jī)應(yīng)用里的內(nèi)容搬出去�,在其他地方操作。和過(guò)去的攻擊手段相比�����,克隆攻擊的隱蔽性更強(qiáng)����,更不容易被發(fā)現(xiàn)。
“應(yīng)用克隆”有多可怕?
“應(yīng)用克隆”的可怕之處在于:和以往的木馬攻擊不同���,它實(shí)際上并不依靠傳統(tǒng)的木馬病毒�,也不需要用戶(hù)下載“冒名頂替”常見(jiàn)應(yīng)用的“李鬼”應(yīng)用����。
騰訊相關(guān)負(fù)責(zé)人比喻:“這就像過(guò)去想進(jìn)入你的酒店房間,需要把鎖弄壞����,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡�,不但能隨時(shí)進(jìn)出�,還能以你的名義在酒店消費(fèi)?!?/p>
騰訊安全玄武實(shí)驗(yàn)室研究員 王永科表示,攻擊者可以在他的手機(jī)上完全地操作賬戶(hù)����,包括查看隱私信息,甚至還可以盜用里面的錢(qián)財(cái)�。
智能手機(jī),在我們生活中扮演的角色越來(lái)越重要�����。我們的手機(jī)里不僅有我們的個(gè)人信息�����,還能實(shí)現(xiàn)預(yù)定��、消費(fèi)�����、甚至支付等各種活動(dòng)。這種克隆攻擊有多大危害?大家又該怎樣防止被克隆呢?
騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人
于旸介紹��,攻擊者完全可以把與攻擊相關(guān)的代碼�,隱藏在一個(gè)看起來(lái)很正常的頁(yè)面里面,你打開(kāi)的時(shí)候,你肉眼看見(jiàn)的是正常的網(wǎng)頁(yè),可能是個(gè)新聞�、可能是個(gè)視頻���、可能是個(gè)圖片��,但實(shí)際上攻擊代碼悄悄的在后面執(zhí)行�����。
專(zhuān)家表示��,只要手機(jī)應(yīng)用存在漏洞����,一旦點(diǎn)擊短信中的攻擊鏈接,或者掃描惡意的二維碼���,APP中的數(shù)據(jù)都可能被復(fù)制��。
騰訊經(jīng)過(guò)測(cè)試發(fā)現(xiàn)����,“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效,在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞����,比例超過(guò)10%。
騰訊安全玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP�����,如支付寶����、餓了么等多個(gè)主流APP均存在漏洞,所以該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶(hù)���。
目前����,“應(yīng)用克隆”這一漏洞只對(duì)安卓系統(tǒng)有效��,蘋(píng)果手機(jī)則不受影響���。另外���,騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊��。
現(xiàn)場(chǎng)展示:
攻擊者向用戶(hù)發(fā)一個(gè)短信�����,包含一個(gè)鏈接���,用戶(hù)收到了短信,點(diǎn)擊一下短信中的鏈接��,用戶(hù)看起來(lái)是打開(kāi)了一個(gè)正常的攜程頁(yè)面����,此時(shí)攻擊者已經(jīng)完整的克隆了用戶(hù)����。所有的個(gè)人隱私信息,這個(gè)賬戶(hù)都可以查看到的�。
就在昨晚,國(guó)家信息安全漏洞共享平臺(tái)發(fā)布公告稱(chēng)��,安卓
WebView控件存在跨域訪問(wèn)漏洞。網(wǎng)絡(luò)安全工程師告訴記者����,如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機(jī)應(yīng)用都升級(jí)到最新版本,大部分的應(yīng)用就可以避免克隆攻擊�����。
用戶(hù)如何進(jìn)行防范?
普通用戶(hù)最關(guān)心的則是如何能對(duì)這一攻擊方式進(jìn)行防范����。知道創(chuàng)宇404實(shí)驗(yàn)室負(fù)責(zé)人回答本報(bào)記者提問(wèn)時(shí)表示,普通用戶(hù)的防范比較頭疼���,但仍有一些通用的安全措施:
一是別人發(fā)給你的鏈接少點(diǎn)���,不太確定的二維碼不要出于好奇去掃;
更重要的是,要關(guān)注官方的升級(jí)��,包括你的操作系統(tǒng)和手機(jī)應(yīng)用��,真的需要及時(shí)升級(jí)���。
漏洞:尚未形成危害就被捕捉
一個(gè)令人吃驚的事實(shí)是�,這一攻擊方式并非剛剛被發(fā)現(xiàn)。騰訊相關(guān)負(fù)責(zé)人表示:“整個(gè)攻擊當(dāng)中涉及的每一個(gè)風(fēng)險(xiǎn)點(diǎn)��,其實(shí)都有人提過(guò)���?!?/p>
那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發(fā)覺(jué)����,也未有攻擊案例發(fā)生?
“這是新的多點(diǎn)耦合產(chǎn)生的漏洞?�!痹撠?fù)責(zé)人打了一個(gè)比喻�����,“這就像是網(wǎng)線插頭上有個(gè)凸起�����,結(jié)果路由器在插口位置上正好設(shè)計(jì)了一個(gè)重置按鈕���。“
網(wǎng)線本身沒(méi)有問(wèn)題��,路由器也沒(méi)有問(wèn)題,但結(jié)果是你一插上網(wǎng)線��,路由器就重啟���。多點(diǎn)耦合也是這樣����,每一個(gè)問(wèn)題都是已知的�,但組合起來(lái)卻帶來(lái)了額外風(fēng)險(xiǎn)?����!?/p>
多點(diǎn)耦合的出現(xiàn)���,其實(shí)正意味著網(wǎng)絡(luò)安全形勢(shì)的變化�����。硬幣的一面是漏洞“聯(lián)合作戰(zhàn)”的“乘法效應(yīng)”��,另一面則是防守者們形成的合力��。
在移動(dòng)時(shí)代����,最重要的是用戶(hù)賬號(hào)體系和數(shù)據(jù)的安全。而保護(hù)好這些�����,光搞好系統(tǒng)自身安全遠(yuǎn)遠(yuǎn)不夠�����,需要手機(jī)廠商��、應(yīng)用開(kāi)發(fā)商���、網(wǎng)絡(luò)安全研究者等多方攜手�����。
中研網(wǎng) 發(fā)現(xiàn)資訊的價(jià)值 
研究院 掌握產(chǎn)業(yè)最新情報(bào) 
安卓系統(tǒng)曝致命漏洞 別人拿自己手機(jī)就能偷刷你的錢(qián) 
