近日央视财经频道节目中曝光了一种安卓新漏洞,攻击者可以轻松复制受害者手机的软件和登陆信息,国内安全机构披露,检测发现国内安卓应用市场约有十分之一的APP存在漏洞,并且这种漏洞容易被“应用克隆”攻击,甚至如支付宝、携程、饿了么等多个主流APP均存在漏洞,几乎影响了国内所有安卓用户,而且像支付宝这种移动支付也能直接盗用来消费。
具体的*取盗**流程是,攻击者发送一条带有恶意代码的链接,只要被攻击者打开了这个链接,那么攻击者的手机上就可以复制出和被攻击者手机相同的软件和登陆信息,整个过程很快就完成, 被攻击者没有办法察觉。
央视节目中演示的时候也是如此,攻击者手机发过去一条短信,利用另一个手机收取短信后打开其中的链接,虽然是一个抢红包的页面,但在毫无察觉的情况下,仅仅几秒钟,攻击手机就多出了一个一模一样的支付宝,而且账号也登在上面,更重要的是,当记着拿着克隆到的支付宝账号去商场进行消费的时候,竟然成功支付。也就是说,完全可以像原手机一样查看隐私、账单并且消费。
且,根绝支付宝安全保障规则而言,这种漏洞盗刷是否得到补偿仍是未知。
支付宝安全保障规则: 以下情况不在本保障服务的保障范围内:
(1)经调查或经支付宝合理判断,对您主张您的资金未经本人授权支出的事实存疑或支付宝有理由认为可能由您本人操作或是您的配偶、亲属、朋友或雇员、代理人等所为的。如:资金支出的操作行为发生在可信网络环境下(如常用设备、IP、通过短信验证等),或存在您本人陈述与支付宝调查到的事实不符等可疑情形。
(2)经调查或经支付宝合理判断认为是因您的故意行为、重大过失或违法行为造成您自身资金损失的。
(3)经调查或经支付宝合理判断认为是因他人的欺诈、胁迫等行为造成您资金损失的。
(4)您未能提供支付宝所要求提供的全部或部分资料,或不积极配合支付宝调查的;或经支付宝合理判断之后认为您提供的资料不能证明您的资金是在未经本人授权情况下支出的。
(5)由于盗用者以外的其他第三方原因造成您资金损失的。
(6)您的支付宝账户在本次未经本人授权的支出发生之前,已经享受过本保障服务的。
(7)您没有遵守本规则或者《支付宝服务协议》或其附件,或者支付宝公布的其他规则,经支付宝合理判断认为不需要向您进行补偿的,包括您曾在任一阿里网站、支付宝网站或者使用阿里或支付宝任一产品时,有过欺诈、炒信、侵犯他人合法权益等行为。
(8)因台风、地震、海啸、洪水、停电、战争、恐怖袭击等不可抗力之因素,造成本公司系统障碍不能执行业务的。
(9)由于黑客攻击、电信部门技术调整或故障、网站升级、银行方面的问题等原因而造成的服务中断或者延迟。
目前这种漏洞只在安卓系统上生效,还没有发现苹果手机出现类似的情况,所以建议大家收取到来历不明的短信、信息等切勿点击其中的链接,安卓手机也可以考虑装一个病毒防护软件来防止病毒入侵。
这一重大安全漏洞会导致对安卓手机操作系统的新型攻击危险,这种“攻击”能瞬间把你手机的应用克隆到攻击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。
之所以会出现这种危险,是由于安卓手机系统的一个WebView控件存在高危漏洞,而这个WebView控件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。
如何修补呢?据网警专业技术人员介绍,首先用户要关注官方的升级,包括安卓操作系统和手机应用,有小红点出来时一定要及时升级。(目前支付宝、饿了么等主流APP已主动修复了该漏洞)。“只要升级到最新版本,大部分的应用就可以避免克隆攻击。”除此之外,网警提醒用户须谨慎点击别人发给你的短信链接,不要出于好奇去扫描不太确定的二维码。
视频加载中...