凯迪微信公众号
扫描二维码关注
发现信息价值

微信扫一扫
分享此帖文

发帖人:
骁果军III
 |  只看此人
   楼主
收藏
收藏成功
添加
添加标签来管理你的收藏吧!
| 刷新 | 字体缩小 | 字体变大
[转帖]突发!安卓系统曝致命漏洞:应用克隆
6074 次点击
17 个回复
骁果军III 于 2018/1/11 19:40:10 发布在 凯迪社区 > 猫眼看人
    随着新年到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。

    可你有没有想过,哪天当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了?而别人可以像你一样使用该账号,包括扫码支付。

    这种克隆攻击到底有多大危害?大家又该怎样防止被克隆呢?

    就在9号下午,一种针对安卓手机操作系统的新型攻击危险被公布,这种“攻击”能瞬间把你手机的应用,克隆到攻击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。

    瞬间克隆手机应用 花你的钱不用商量

    攻击者向用户发短信,用户点击短信中的链接,用户在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。

    



    央视财经记者在现场借到了一部手机,经过手机机主的同意,记者决定试一下“克隆攻击”是不是真实存在。

    记者发现,中了克隆攻击之后,用户这个手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样。那么,这台克隆手机能不能正常的消费呢?记者到商场进行了简单的测试。

    



    



    通过克隆来的二维码,记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。

    因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。

    网络安全工程师告诉记者,和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。因为不会多次入侵你的手机,而是直接把你的手机应用里的内容搬出去,在其他地方操作。和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。

    “应用克隆”有多可怕?

    “应用克隆”的可怕之处在于:和以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。

    腾讯相关负责人比喻:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”

    腾讯安全玄武实验室研究员王永科表示,攻击者可以在他的手机上完全地操作账户,包括查看隐私信息,甚至还可以盗用里面的钱财。

    现场展示:

    攻击者向用户发一个短信,包含一个链接,用户收到了短信,点击一下短信中的链接,用户看起来是打开了一个正常的携程页面,此时攻击者已经完整的克隆了用户。所有的个人隐私信息,这个账户都可以查看到的。

    



    就在昨晚,国家信息安全漏洞共享平台发布公告称,安卓 WebView控件存在跨域访问漏洞。网络安全工程师告诉记者,如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击。

    用户如何进行防范?

    普通用户最关心的则是如何能对这一攻击方式进行防范。知道创宇404实验室负责人回答本报记者提问时表示,普通用户的防范比较头疼,但仍有一些通用的安全措施:

    一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;

    更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。

    漏洞:尚未形成危害就被捕捉

    一个令人吃惊的事实是,这一攻击方式并非刚刚被发现。腾讯相关负责人表示:“整个攻击当中涉及的每一个风险点,其实都有人提过。”

    那么为什么这种危害巨大的攻击方式此前却既未被安全厂商发觉,也未有攻击案例发生?

    “这是新的多点耦合产生的漏洞。”该负责人打了一个比喻,“这就像是网线插头上有个凸起,结果路由器在插口位置上正好设计了一个重置按钮。“

    网线本身没有问题,路由器也没有问题,但结果是你一插上网线,路由器就重启。多点耦合也是这样,每一个问题都是已知的,但组合起来却带来了额外风险。”

    多点耦合的出现,其实正意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的“乘法效应”,另一面则是防守者们形成的合力。

    在移动时代,最重要的是用户账号体系和数据的安全。而保护好这些,光搞好系统自身安全远远不够,需要手机厂商、应用开发商、网络安全研究者等多方携手。

    智能手机,在我们生活中扮演的角色越来越重要。我们的手机里不仅有我们的个人信息,还能实现预定、消费、甚至支付等各种活动。这种克隆攻击有多大危害?大家又该怎样防止被克隆呢?

    腾讯安全玄武实验室负责人于旸介绍,攻击者完全可以把与攻击相关的代码,隐藏在一个看起来很正常的页面里面,你打开的时候,你肉眼看见的是正常的网页,可能是个新闻、可能是个视频、可能是个图片,但实际上攻击代码悄悄的在后面执行。

    



    专家表示,只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制。

    腾讯经过测试发现,“应用克隆”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。

    腾讯安全玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

    目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。


分享: 分享到新浪微博 分享到腾讯微博 分享给朋友
凯迪社区APP下载

优秀帖文推荐

    回复 | 引用 | 举报
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 19:52:57    跟帖回复:
       沙发
    转!。
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 20:45:53    跟帖回复:
       第 3
    不重办几个,网骗停不下来

    回帖人: | 只看此人 | 不看此人 | 2018/1/11 20:51:49    跟帖回复:
       第 4
    是否安卓收费的前戏!
        逻辑链:风险/升级/收费,嘿嘿,只有我们想不到的

    回帖人: | 只看此人 | 不看此人 | 2018/1/11 20:51:49    跟帖回复:
       第 5
    一句话,扫二维码支付不安全
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 20:58:34    跟帖回复:
    6
    一查,是2011年美国华人发明的玩意了,好玩不?

    Attacks on WebView in the Android System - Syracuse …

    Attacks on WebView in the Android System Tongbo Luo, Hao Hao, Wenliang Du, Yifei Wang, and Heng Yin Dept. of Electrical Engineering & Computer Science, Syracuse ...
    www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf · 2011-10-14


    回帖人: | 只看此人 | 不看此人 | 2018/1/11 21:41:26    iPhone客户端
    7
    升级nmgb,又骗老子换手机?
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 22:31:40    iPhone客户端
    8
    苹果系统也一样。不过我支付宝上面的钱被偷了。支付宝会赔给我的。我买了保险的。
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 22:39:55    android
    9
    Win的镜像功能而已,代码一大堆!
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 22:46:08    android
    10
    国产系统安全
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 22:47:34    android
    11
    微信被支付宝实体店红包干趴了,腾讯拿出个很久以前的一个安卓系统漏洞炒作一下。
    回帖人: | 只看此人 | 不看此人 | 2018/1/11 22:58:14   
    12
    居然买通了二套节目联合搞鬼,对了,中央2套财经以前那个代表亚洲的首席记者XXX怎么样了现在?

    此贴已经被作者于 2018/1/11 22:59:46 编辑过

    回帖人:
    weiwxs  
    | 只看此人 | 不看此人 | 2018/1/11 23:19:17    跟帖回复:
    13
    攻击者向用户发短信,用户点击短信中的链接
    =============================
    这才是问题所在,这链接是可以随便点的吗?要点,怪不得漏洞!
    回帖人: | 只看此人 | 不看此人 | 2018/1/12 4:38:28    引用回复:
    14
    转至第10楼第 10 楼 荷塘月色色色 2018/1/11 22:46:08  的原帖: 国产系统安全有国产系统吗?
    回帖人: | 只看此人 | 不看此人 | 2018/1/12 7:34:56    android
    15
    魔道相争,推陈出新
    6074 次点击,17 个回复  1 2
    跳转论坛至:
    快速回复:[转帖]突发!安卓系统曝致命漏洞:应用克隆
    本站声明:本站BBS互动社区的文章由网友自行帖上,文责自负,对于网友的贴文本站均未主动予以提供、组织或修改;本站对网友所发布未经确证的商业宣传信息、广告信息、要约、要约邀请、承诺以及其他文字表述的真实性、准确性、合法性等不作任何担保和确认。因此本站对于网友发布的信息内容不承担任何责任,网友间的任何交易行为与本站无涉。任何网络媒体或传统媒体如需刊用转帖转载,必须注明来源及其原创作者。特此声明!

    【管理员特别提醒】 发布信息时请注意首先阅读 ( 琼B2-20060022 ):
    1.全国人大常委会关于维护互联网安全的决定2.凯迪网络BBS互动区用户注册及管理条例。谢谢!
    • 广告