隨著移動支付的出現,小夥伴們開始頻繁地收發紅包,有朋友間的互送,也有商家的推廣活動。久而久之,“紅包族”們往往養成了來者不拒的習慣。
但你是否想過,哪天當你點開一個紅包鏈接,自己的支付寶信息瞬間被“克隆”到另一個手機上了?而且別人可以使用該賬號,隨意掃碼支付。
這種克隆攻擊到底有多大危害?大家又該怎樣防止被克隆?
下面,小警為您大揭密!
9日下午,一種針對安卓手機操作系統的新型攻擊危險被公佈,這種“攻擊”能瞬間把你手機的應用,克隆到攻擊者的手機上,並克隆你的支付二維碼,進行隱蔽式盜刷。
瞬間克隆手機應用
攻擊者發送攻擊短信,用戶打開短信中的鏈接後,在自己手機上看到的是一個真實的搶紅包網頁,攻擊者則已在另一臺手機上完成了克隆支付寶賬戶的操作,賬戶名稱、頭像完全一致。
隨後,小警在現場拿起了這臺克隆手機到商場進行了簡單的測試。
通過克隆來的二維碼,記者在商場輕鬆地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶賬單中。
因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。
“應用克隆”有多可怕?
“應用克隆”的可怕之處在於:和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒。只要手機應用存在漏洞,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼,APP中的數據就可能被複制。攻擊者可以在自己的手機上完全地操作賬戶,包括查看隱私信息,甚至還可以盜用裡面的錢財。
經過測試發現,“應用克隆”對許多移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。但目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。
用戶如何進行防範?
9日晚,國家信息安全漏洞共享平臺發佈公告稱,安卓 WebView控件存在跨域訪問漏洞。網絡安全工程師告訴小警,如果現在把安卓操作系統和所有的手機應用都升級到最新版本,大部分的應用就可以避免克隆攻擊。
但是,用戶要想完全對這一攻擊方式進行防範,小警仍有一些通用的安全措施帶給大家:
一是不要輕易點擊來路不明的鏈接,不太確定的二維碼不要出於好奇去掃;
二是要關注軟件官方升級,包括操作系統和手機應用;
三是要預防“紅包”詐騙,謹防被虛假紅包注入木馬程序。
閱讀更多 平安火炬 的文章
