原标题:Android系统 | 支付账号密码瞬间被盗

原标题:Android系统 | 支付账号密码瞬间被盗

最近腾讯安全玄武实验室发现,大量安卓系统的应用都存在着一个普遍性漏洞,可以允许攻击者轻松将软件内容克隆,漏洞波及支付宝、携程、饿了么等软件。被攻击后,你的软件能看什么,能做什么,攻击者也能做到。

按照玄武实验室发现的漏洞,攻击者只需要把含有恶意链接的短信或邮件伪装成红包、紧急信息甚至银行通知发送给其他人,用户点击链接后,程序里的一切内容就会被克隆至攻击者手机。

根据玄武实验室排查200个应用后发现,27个主流软件都有此类漏洞,包括支付宝、豆瓣、携程、百度旅游、饿了么等应用程序。在实验室研究人员的一段试验中,可以看到,用户在接收伪装成红包的恶意短信后,支付宝就被攻击者克隆,由于快捷支付无需密码,攻击者就能用克隆程序,使自己的手机,花别人的钱。

瞬间克隆手机应用

花钱不用与你商量

攻击者向用户发短信,用户点击短信中的链接,用户在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。

记者在现场借到了一部手机,经过手机机主的同意,记者决定试一下“克隆攻击”是不是真实存在。

记者发现,中了克隆攻击之后,用户这个手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样。记者到商场进行了简单的测试。

通过克隆来的二维码,记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。

因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。

网络安全工程师告诉记者,和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。因为不会多次入侵你的手机,而是直接把你的手机应用里的内容搬出去,在其他地方操作。和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。

“应用克隆”有多可怕

专家表示,只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制。

目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。

用户如何进行防范?

截至目前,支付宝、饿了么、百度旅游已经通过升级软件修复了应用,但12306智行火车票、聚美优品、国美、携程等软件,仍未进行升级。

普通用户应当做到如下几点:

一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;

更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。

责任编辑 | 姜秀

内容来源 | 人民网 中国之声返回搜狐,查看更多

责任编辑:

文章转载自:http://www.sohu.com/a/216657951_507636
版权归原作者享有,如果侵犯了您的权益,请联系本站删除。感谢您的支持理解!