隨著新年到來,
小伙伴們開始頻繁地收發(fā)紅包,
有朋友間的互送,也有商家的推廣活動。
可你有沒有想過,
哪天當你點開一個紅包鏈接,
自己的支付寶信息瞬間在另一個手機上被“克隆”了?
而別人可以像你一樣使用該賬號,
包括掃碼支付。
這種克隆攻擊到底有多大危害?
大家又該怎樣防止被克隆呢?
隨著新年到來, 小伙伴們開始頻繁地收發(fā)紅包, 有朋友間的互送,也有商家的推廣活動。 可你有沒有想過, 哪天當你點開一個紅包鏈接, 自己的支付寶信息瞬間在另一個手機上被“克隆”了? 而別人可以像你一樣使用該賬號, 包括掃碼支付。 這種克隆攻擊到底有多大危害? 大家又該怎樣防止被克隆呢? 在1月9號下午,一種針對安卓手機操作系統(tǒng)的新型攻擊危險被公布,這種“攻擊”能瞬間把你手機的應用,克隆到攻擊者的手機上,并克隆你的支付二維碼,進行隱蔽式盜刷。 瞬間克隆手機應用 花你的錢不用商量
攻擊者向用戶發(fā)短信,用戶點擊短信中的鏈接,用戶在自己的手機上看到的是一個真實的搶紅包網(wǎng)頁,攻擊者則已經(jīng)在另一臺手機上完成了克隆支付寶賬戶的操作。賬戶名用戶頭像完全一致。
網(wǎng)絡安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發(fā)現(xiàn)。因為不會多次入侵你的手機,而是直接把你的手機應用里的內(nèi)容搬出去,在其他地方操作。
“應用克隆”有多可怕?
騰訊安全玄武實驗室研究員 王永科表示,攻擊者可以在他的手機上完全地操作賬戶,包括查看隱私信息,甚至還可以盜用里面的錢財。
智能手機,在我們生活中扮演的角色越來越重要。我們的手機里不僅有我們的個人信息,還能實現(xiàn)預定、消費、甚至支付等各種活動。這種克隆攻擊有多大危害?大家又該怎樣防止被克隆呢?
專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼,APP中的數(shù)據(jù)都可能被復制。
目前,“應用克隆”這一漏洞只對安卓系統(tǒng)有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊。 現(xiàn)場展示: 攻擊者向用戶發(fā)一個短信,包含一個鏈接,用戶收到了短信,點擊一下短信中的鏈接,用戶看起來是打開了一個正常的攜程頁面,此時攻擊者已經(jīng)完整的克隆了用戶。所有的個人隱私信息,這個賬戶都可以查看到的。
用戶如何進行防范?
普通用戶最關心的則是如何能對這一攻擊方式進行防范。知道創(chuàng)宇404實驗室負責人回答本報記者提問時表示,普通用戶的防范比較頭疼,但仍有一些通用的安全措施:
漏洞:尚未形成危害就被捕捉
“這是新的多點耦合產(chǎn)生的漏洞。”該負責人打了一個比喻,“這就像是網(wǎng)線插頭上有個凸起,結(jié)果路由器在插口位置上正好設計了一個重置按鈕。“
網(wǎng)線本身沒有問題,路由器也沒有問題,但結(jié)果是你一插上網(wǎng)線,路由器就重啟。多點耦合也是這樣,每一個問題都是已知的,但組合起來卻帶來了額外風險。”
多點耦合的出現(xiàn),其實正意味著網(wǎng)絡安全形勢的變化。硬幣的一面是漏洞“聯(lián)合作戰(zhàn)”的“乘法效應”,另一面則是防守者們形成的合力。
在移動時代,最重要的是用戶賬號體系和數(shù)據(jù)的安全。而保護好這些,光搞好系統(tǒng)自身安全遠遠不夠,需要手機廠商、應用開發(fā)商、網(wǎng)絡安全研究者等多方攜手。 (源于“央視財經(jīng)”) |